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ВЕДЕНИЕ 


Основные свойства Windows МТ 


Операционные системы Microsoft Windows МТ и Windows МТ Advanced Server 
появились в продаже в июле 1993 года. Тогда их использовали лишь энтузиасты 
и крупные компании. Во многом это было связано с довольно высокими требо- 
ваниями системы к аппаратуре. С выходом версии 3.5, заметно снизившей уро- 
вень этих требований и включившей в себя ряд новых функций, начался стре- 
мительный рост популярности Windows МТ. Сегодня она широко применяется 
самыми разными организациями, банками, промышленностью и индивидуаль- 
ными пользователями. Все больше становится поклонников этой удобной и на- 
дежной системы и в России. Версия 4.0 — это следующий шаг в распростране- 
нии Windows МТ: новый интерфейс и масса новых полезных свойств привели к 
широкому внедрению этой системы на персональных рабочих местах. 


Приоритетная многозадачность 


Ранние версии Windows поддерживали неприоритетную многозадачность, из- 
за чего работа системы зависела от корректности запущенных задач. Все при- 
ложения делили процессорное время путем периодического опроса друг друга. 
Если какое-либо приложение отказывалось отвечать, система не знала, что в 
таком случае делать. В Windows МТ действует принцип приоритетов, позволяю- 
щий приложениям с более высоким приоритетом “вытеснять” имеющие более 
низкий. Так как система всегда контролирует события, процессорное время 
используется эффективнее, а “сбойное” приложение не приведет к зависанию 
системы. 


Встроенная сетевая поддержка 


В отличие от большинства других операционных систем для персональных 
компьютеров Windows МТ изначально создавалась с учетом работы в сети. По- 
этому функции совместного использования файлов, устройств и объектов 
встроены в интерфейс пользователя. Администраторы могут централизованно 
управлять и контролировать работу сетей в масштабах крупных предприятий. 
Особенно важна возможность распространения работы приложений типа кли- 
ент-сервер на многокомпьютерные системы. 


XIV. Windows NT — выбор "профи" 


защищенность 


Система Windows МТ сертифицирована в США на уровень защиты C2 по Оран- 
жевой книге, что подразумевает возможность владельца ресурсов (файла, ката- 
лога, принтера или совместно используемого объекта данных) управлять досту- 
пом к ним. С2 гарантирует изолированное выполнение приложений в системе 
и обязывает пользователей регистрироваться. При этом можно указать разные 
уровни доступа к ресурсам, предоставляя определенным пользователям или 
группам один из таких уровней, а операционная система определит, был ли 
доступ к ресурсу удачным. 


Многопоточность 


Поддерживаемая в Windows МТ многопоточность позволяет определенным об- 
разом разработанным приложениям одновременно выполнять несколько соб- 
ственных процессов. Так, работая с многопоточной электронной таблицей, 
пользователь может выполнять перерасчет в одной таблице, в то время как 
печатается другая и загружается в память третья. Наглядно многопоточность 
проявляется в графических приложениях, позволяя запустить сложную обра- 
ботку одного образа и сразу перейти к редактированию другого или печати 
третьего. 


Поддержка симметричной мультипроцессорной 
обработки 


Windows МТ поддерживает работу на компьютерах с несколькими процессора- 
ми. Эти системы становятся все популярнее, по мере того как приложения для 
мини-ЭВМ и мэйнфреймов переносятся на платформу ПК. Назначая различные 
потоки для разных процессоров, Windows МТ повышает производительность 
приложений, требующих большой вычислительной мощности. 


Бытует мнение, что сервер Windows МТ не работает в системах с числом процес- 
соров, превышающим 4. Это не так. Система способна поддерживать до 32 про- 
цессоров. Из чисто практических соображений стандартная версия имеет огра- 
ничение на 4 поддерживаемых процессора. Но ведь именно 4 процессора — 
предел и для абсолютного большинства моделей: полистайте рекламные букле- 
ты компаний, выпускающих компьютеры! Если у Вашего компьютера много 
процессоров, Вы получите от фирмы-производителя такой техники необходи- 
мый модуль поддержки, но уже за дополнительную плату. | 


Введение AV 


Поддержка широкого спектра 
компьютерных платформ 


Windows МТ можно установить на самых различных типах компьютеров, спи- 
сок которых продолжает расти. Сегодня поддерживаются ште-компьютеры с 
процессорами 386, 486, Pentium и Pentium Pro, а также три типа ВГ5С-процессо- 
pos: PowerPC, MIPS R4000 и DEC Alpha. Благодаря особенностям внутренней 
структуры, Windows МТ на другие платформы перенести довольно просто. 


Возможность выполнения приложений, 
написанных для других операционных систем 


Операционная система, не позволяющая выполнять уже существующие прило- 
жения, обречена. В Windows МТ работают практически все 16-разрядные при- 
ложения для Windows, MS-DOS, неграфические 16-разрядные приложения для 
05/2 и РОЗГХ-приложения. Дополнительные подсистемы позволяют работать 
16-разрядным РМ-приложениям и ОМГХ-приложениям, соответствующим стан- 
дарту POSIX.2. 


Поддержка нескольких файловых систем 


Кроме возможности выполнения приложений, написанных для других опера- 
ционных систем, в Windows МТ поддерживаются и различные типы файловых 
систем. Можно использовать жесткий диск, отформатированный в одной из 
трех систем: FAT, HPFS и NTFS, разработанной специально для Windows МТ. 
Очень надежная, NTFS позволяет применять длинные имена файлов и контро- 
лировать доступ к определенным файлам. В 4 версии файловая система HPFS 
больше не поддерживается, так как не предлагает никаких преимуществ по 
сравнению с двумя другими и гораздо меньше распространена. 


Знакомый интерфейс 


Если Вы один из миллионов пользователей Microsoft Windows, то, несомненно, 
заметите, что интерфейс Windows МТ практически не отличается от привычно- 
го. Версии Windows МТ до 3.51 включительно имели интерфейс Windows 3.x. В 
новой, четвертой версии используется интерфейс, идентичный принятому в 
Windows 95 с незначительными отличиями, связанными с особенностями 
Windows МТ. 


ХУ! Windows МТ — выбор "профи" 


Интеллектуальная программа установки 


Если Вы умеете устанавливать Windows для рабочих групп или Windows 95, To 
с Windows МТ проблем у Bac не будет: ведь программа установки сама распоз- 
нает сетевые платы компьютера и их параметры, протоколы, используемые в 
сети, позволит быстро установить и проверить видеорежимы и многое другое. 


Добавленная в версии 4.0 возможность “отчужденной” установки, при которой 


не требуется вмешательство пользователя, позволяет легко и быстро установить 
операциониую систему на большое количество компьютеров предприятия. 


Различие между версиями Windows МТ 


Windows МТ выпускается в двух версиях: рабочая станция Windows NT Work- 
station и сервер Windows NT Server. Хотя Windows NT Workstation может выпол- 
нять функции невыделенного сервера в одноранговой сети, использовать ее 
вместо полноценного сервера пельзя. Связано это с отсутствием в ней средств 
администрирования и управления доменом, оптимизации подсистем для ис- 
полнения только приложений и введенным ограничением на число одновре- 
менных подключений. 


Функции Windows МТ Server 


Windows NT Server может выступать как: 
файл-сервер; 

сервер печати; 

сервер приложений; 

контроллер домена; 

сервер удаленного доступа; 

сервер Internet, 

сервер обеспечения безопасности данных; 
сервер резервирования данных; 


сервер связи; 


VVVV VV VV VV YV 


сервер вспомогательных служб. 


Введение ХУЙ 


Windows МТ Server как файл-сервер 


Эта функция вполне ясна: компьютер используется как централизованное хра- 
нилище файлов, коллективно используемых в офисе или хранение которых на 
локальном компьютере нецелесообразно. Для организации файл-сервера не 
надо специальной подготовки вроде монтирования томов. Все файловые ресур- 
сы независимо OT того, на каком диске они расположены (жестком или CD- 
ROM), сразу могут быть предоставлены для совместного доступа. 


Windows МТ Server как сервер печати 


Windows МТ Server позволяет работать и предоставлять в совместное пользова- 
ние неограниченное число принтеров. Они могут быть подключены локально 
или по сети с помощью протоколов TCP/IP и DLC. 


В качестве рабочих станций могут выступать компьютеры с MS-DOS, Windows 
для рабочих групп, OS/2, Macintosh, Windows NT Workstation. Если Вы хотите с 
рабочей станции в системе Windows МТ Workstation подключиться к удаленно- 
му принтеру, предоставляемому Windows МТ Server, просто выберите этот 
принтер из числа доступных. Система не будет просить у Вас дискеты с драйве- 
рами и т.п. — просто использует драйвер, установленный на сервере! 


Windows МТ Server как сервер приложений 


В последнее время растет нужда в системах, способных исполнять основное — 
“тяжелое” — приложение на мощном высокопроизводительном сервере, а ре- 
зульгаты деятельности по запросам передавать на маломощные клиентские 
станции, реализуя модель клиент-сервер. Переход с больших мэйнфреймов на 
современные системы на базе ПК средней и большой мощности как раз и тре- 
бует такого решения. | 


Изначально построенная по схеме клиент-сервер, Windows МТ отлично при- 
способлена для работы в системах клиент-сервер в качестве сервера приложе- 
ний. В первую очередь такими приложениями являются системы управления ба- 
зами данных, системы информационного обмена, системы управления. Именно 
поэтому в Microsoft BackOffice входят Microsoft SQL Server — сервер баз данных, 
Microsoft System Management Server — сервер управления системой, Microsoft 
Exchange — сервер информационного обмена, SNA Server — сервер связи с мей- 
нфреймами и Internet Information Server — сервер Internet. 


Кроме приложений корпорации Microsoft, существует более 2000 разработок 
других фирм: серверы баз данных (Informix, Oracle, IBM и тд.), системы управле- 
ния сетями (HP, DEC), управления производством (SAP), документооборота 
(Lotus, Saros), финансовые (Platinum) и многие другие системы для бизнеса. 


ХУ Windows МТ — выбор "профи" 


Windows МТ Server как сервер 
резервирования данных 


В Windows МТ встроена возможность резервного копирования файлов на маг- 
нитную ленту. Администратор системы определяет пользователя, ответственно- 
го за эту операцию, и регулярно выполняет копирование данных на стример 
только он. Эту операцию можно автоматизировать. 


Windows МТ Server как сервер 
удаленного доступа 


Служба удаленного доступа (Remote Access Service — RAS) состоит из двух час- 
тей: серверной — устанавливаемой на компьютере с Windows МТ Server, и клиен- 
тской — устанавливаемой на компьютерах с MS-DOS, Windows for Workgroups, 
Windows 95 или Windows NT Workstation. : 


Пользователь рабочей станции, связанной с сетью через сервер удаленного 
доступа, чувствует себя работающим непосредственно в сети: он может осуще- 
ствлять доступ к файлам и данным, печатать документы, подключаться к хостам 
через SNA Server и обмениваться с коллегами сообщениями по электронной 
ПОЧТЕ. 


Такой прозрачный доступ к сети удобен тем, кто постоянно бывает в разъездах, 
командировках, и администраторам системы. RAS широко применяется и для 
связи территориально удаленных филиалов предприятий. Одновременно через 
протоколы РРР и SLIP поддерживается до 256 сессий удаленного доступа. 


Набор протоколов Point-to-Point Protocol (РРР) позволяет осуществлять удален- 
ный доступ в условиях разнородной сети. Поддержка РРР гарантирует возмож- 
ность удаленного доступа через любой стандартный РРР-сервер удаленного 
доступа. С другой стороны, Windows NT Server способен соединяться и обеспечи- 
вать доступ к сети для пользователей, применяющих средства удаленного доступа 
сторонних производителей, таких как Netware Connect, Shiva Гапгоуег и др. 


ВАЗ в Windows МТ Server поддерживает любую комбинацию протоколов TCP/IP, 
IPX/SPX и NetBEUI при удаленном доступе. Поддержка IPX делает МТ Server иде- 
альным сервером удаленного доступа для сетей NetWare. 


Поддержка протокола TCP/IP выводит NT Server в разряд систем, готовых к pa- 
боте в Internet. Вы можете подключаться к Internet через его сервер удаленного 
доступа и просматривать ресурсы Internet, используя его средства поиска и 
просмотра. 


Введение ХХ 


Windows МТ Server как сервер связи сетей 


Говоря о Windows МТ Server как о сервере связи, подразумевают возможность 
соединения различных сегментов сети. 


Замечательное свойство Windows МТ Server — возможность сопряжения разно- 
родных сетей. Если Вы уже имеете сеть Novell Netware, соединение ee с Вашим 
новым офисом не составит труда. Популярность Windows МТ неуклонно растет, 
и ряд фирм выпустил продукты, обеспечивающие совместную работу с другими 
сетями. Редиректор фирмы Banyan позволяет Windows МТ функционировать в 
качестве клиента в сети Banyan VINES*. Для прозрачного подключения к сетям 
UNIX имеются продукты, обеспечивающие клиентскую и серверную части NFS 
(Network File System). Кроме TCP/IP и NFS, другим общим сетевым стандартом 
для UNIX является X-Window. В настоящее время несколько фирм, в том числе 
DEC, AGE Logic, Hummingbird, Intergraph и Visionware выпустили Х-серверы. 


Главная проблема администрирования 


Обширный набор функций и свойств, естественно, вызвал к Windows МТ повы- 
шенный интерес. Тысячи администраторов сетей, разработчиков программно- 
го обеспечения и просто пользователей устанавливают эту систему на компью- 
терах, включают в состав существующих систем или создают новые сети, ис- 
пользующие только технологии Microsoft... Но здесь-то и подстерегает основная 
трудность — отсутствие у администраторов знаний и опыта работы с сетями 
Microsoft. Пришедшие в основном из мира NetWare, они пытались перенести на 
NT Server идеологию и способы администрирования этой сетевой ОС. Недопо- 
нимание роли доменной организации сетей приводило к тому, что как “гуру от 
Netware”, так и новички не могли обеспечить централизованного управления 
сетью, грамотно распорядиться сетевыми ресурсами, распределить права и 
привилегии пользователей, что в целом сказалось на надежности и защищенно- 
сти таких систем. 


Думается, проблема вызвана нехваткой информации. Вопрос информационной 
поддержки пользователей Windows МТ особенно остро стоит в России. К сожа- 
лению, зарубежные издания либо не доходят до нас, либо просто не по карману 
администратору сети госпредприятия. Надеемся, эта книга в какой-то степени 
разрядит ситуацию и ответит на большинство вопросов пользователей, начина- 
ющих работать в Windows МТ. 


ХХ Windows МТ — выбор "профи" 


Об этой книге 


Книга Windou's NT Server: администрирование и надежность, вышедшая в апре- 
ле 1996 года, была раскуплена практически сразу. С одной стороны, это под- 
тверждение высокого интереса к Windows МТ, с другой — свидетельство катас- 
трофической нехватки литературы на эту тему. Поэтому была начата подготов- 
ка второго издания книги. Однако в процессе работы, в которой существено 
помогли поступившие ктому времени отклики читателей и прессы, постепенно 
становилось ясным, что переиздание превращается в новую книгу. Поэтому, не- 
смотря на совпадение некоторых разделов с соответствующими разделами в 
Windows NT Server: администрирование и надежность, читатель не может не 
заметить, что держит в руках фактически другую книгу. Добавлены главы о пла- 
нировании и установке операционной системы, о взаимодействии с Novell 
Netware, Вы найдете большое количество практических советов, касающихся 
поддержки русского языка, работы с файлами и каталогами. Значительно шире 
представлены проблемы построения кластеров на базе Windows МТ Server и 
способы организации глобальных сетей. Особое внимание уделено новой вер- 
сии Windows МТ 4.0. 


Наивно полагать, что одна книга заменит несколько томов документации, по- 
ставляемой с Windows МТ Server. Не рассчитывайте найти здесь синтаксис ко- 
манд, расшифровку сообщений об ошибках системы или объяснение внутреннего 
устройства отдельных драйверов и подсистем. Информация такого рода содер- 
жится в специализированном пятитомном издании Windows NT Resource Kit, вы- 
пускаемом Microsoft Press (в настоящее время два тома изданы на русском языке). 


Книга Windows NT — выбор "профи" обобщает опыт практической работы с си- 
стемами на базе Windows МТ. Здесь освещены проблемы, с которыми сталкивает- 
ся практически каждый. Материал подан в такой последовательности, что нович- 
ки, делающие первые шаги в сетях, читая книгу с самого начала, быстро поймут 
идеологию сетей на базе Windows МТ и смогут самостоятельно спланировать и 
сконфигурировать свою систему. Пользователи из мира других сетевых ОС могут 
пропустить главы с описанием хорошо знакомых для них понятий. Тем, кто уже 
какое-то время работает с системами на базе NT Server, книга понадобится как 
краткий справочник с рекомендациями по планированию и выбору техники, ис- 
пользованию доменов, учетных записей пользователей и групп, осуществлению 
доступа к Internet. Столкнувшись с неясным термином, поищите разъяснения в 
словаре в конце книги. 


Проблему надежной работы сетевой ОС можно разделить на две большие части: 
обеспечение бесперебойной работы системы и обеспечение защиты данных, 
хранящихся в этой системе. И то и другое достигается за счет умелого админи- 
стрирования, которое невозможно без понимания доменов Windows NT и взаи- 


Введение ХХ! 


моотношений межд) ними, а также без четкого представления об устройстве 
системы безопасности. Эти разделы и вынесены в начало книги. 


Как показывает опыт общения с пользователями, знание теоретических основ 
построения сети не всегда помогает в реальной жизни. Правильно выбрать тип 
и конфигурацию компьютеров, сетевых протоколов и не сделать типичных 
ошибок при установке системы поможет глава Планирование и установка. 


Понятия учетных записей пользователей и групп — это краеугольный камень в 
разграничении доступа к ресурсам системы. Знание стратегии их применения и 
разумная политика ведения учетных записей обеспечат Вашу уверенность в на- 
дежной защите информации от посторонних глаз. Эти вопросы освещены в гла- 
ве Администрирование учетных записей пользователей. 


Файловая система Windows МГ — NTFS — для многих все еще terra incognita. 
Понять, почему NTFS обеспечивает высокую степень отказоустойчивости 
Windows МТ, как использовать дисковые массивы, и узнать о средствах резерв- 
ного копирования и обеспечения бесперебойного питания Вы сможете из глав 
Файловая система NTFS и Обеспечение повышенной отказоустойчивости при 
работе с файлами и каталогами. 


В какой организации нет принтера! Печатать надо всегда и всем: служебные 
записки и диссертации, отчеты и стихи, любовные послания и кляузы, — в об- 
щем все, что стерпит бумага, а терпит она все. Как сделать так, чтобы Ваш лич- 
ный документ не попал в чужие руки, рассказывается в главе Разграничение 
доступа к принтерам. 


Вы до этого работали исключительно с Netware? Вы продолжаете использовать 
эту систему, но хотите "запрячь" ее в одну упряжку с Windows МТ? Пожалуйста! 
Обо всех возможностях совместной работы этих систем читайте главу Взаимо- 
действие с Netware. 


Одна из самых горячих тем на сегодняшний день — объединение нескольких 
локальных сетей в глобальную и безопасное подключение к Internet. Вы найде- 
те вкниге рекомендации по использованию протокола TCP/IP, настройке серве- 
ра удаленного доступа, обеспечивающей надежную защиту Вашей сети от 
внешнего вторжения; маршрутизации в глобальных сетях. Все это читайте в 
главе Построение глобальных сетей и работа с Internet. 


Если Ваша система работает исправно, но Вы продолжаете терзаться сомнени- 
ями о честности отдельных пользователей или опасаетесь вторжения нового 
коварного вируса, способного уничтожить не только данные, но и всю систему, 
значит, займитесь а’дитом. Оптимальной организации аудита посвящена от- 
дельная глава. 


Windows МТ — выбор "профи" 


Ну и наконец, Вам известно, что Windows МТ обеспечивает защиту данных в 
соответствии с уровнем С2. А нужна ли Вам такая защита? Может, хватит менее 
суровых мер? Или Вы не уверены, что Ваша система соответствует С2? Тогда 
воспользуйтесь практическими рекомендациями по настройке различных сте- 
пеней защиты — они приведены в Приложениях. Можете смело доверять этой 
информации — официальным рекомендациям фирмы Microsoft. 


Разделы книги, посвященные Windows МТ версии 4.0, отмечены специальным 
значком и особо оформлены. 


ГЛАВА 1 


Служба каталогов 
Windows МТ 


Эффективность управления большими сетями во многом определяется 
их структурой, или, как еще говорят, — службой каталогов. В сетях, 
построенных на основе Windows NT Server, применяется так называемая 
служба каталогов №МТО$ (Windows NT Directory Service), основанная Ha 
взаимодействии доменов. Использовавшаяся ранее в сетях на основе 
Microsoft LAN Manager, она долго не находила широкого применения из-за 
неудобства работы с ней в крупных сетях. Для Windows NT Server она 
была существенно переработана: например, реализована возможность 
установления между доменами доверительных отношений, что позво- 
ляет формировать структуру сети в полнам соответствии со струк- 
турой предприятия. 


2 Windows МТ — выбор "профи" 


Сетевые модели: 
рабочие группы и домены 


В сетях на основе Windows МТ используются две модели построения сети: мо- 
дель рабочих групп (workgroup model) и модель доменов (domain model). В этом 
разделе мы рассмотрим их различия и поговорим о доверительных отношени- 
ях (trust relationships) между доменами, позволяющих упростить управление 
большой сетью со множеством домепов. 


Модель рабочих групп 


Рабочая группа (workgroup) — это организационная единица, представляющая 
собой набор сгруппированных вместе компьютеров. Рабочие группы позволя- 
ют объединять рабочие станции, не входящие в домен (domain). У каждого ком- 
пьютера с Windows МТ имеется своя база учетных записей и своя политика за- 
Щиты. 


Администрирование рабочей группы аналогично администрированию одного 
компьютера. Все выполняемые административные действия применяются толь- 
ко к одной рабочей станции. 


Зачем же такая организация нужна, что она дает? Ответ прост. С позиции 
пользователя, это простой способ визуального группирования компьютеров 
при просмотре доступных сетевых ресурсов. Пользователю легче осуществлять 
доступ к компьютерам в своей группе — на экране они собраны в одном месте. 
При этом независимо от того, сколько реально компьютеров в отделе или под- 
разделении, пользователь имеет дело только с этой группой и не тратит время 
на поиски нужного. 


Отдельно стоящая рабочая станция на основе Windows МТ — частный случай 
рабочей группы, состоящей из одного компьютера. При этом может даже не 
быть постоянных связей данной рабочей станции с другими компьютерами. 
Это не самый популярный способ работы в Windows МТ, но иногда возникает 
необходимость в индивидуальной защите каждой рабочей станции. В отличие 
от других операционных систем (вроде MS-DOS или OS/2) отдельно стоящий 
компьютер Windows МТ обладает встроенной процедурой регистрации и кон- 
троля доступа. 


Доменная модель 


По мере роста управление рабочей группой усложняется в силу полной децен- 
трализации баз учетных записей и средств защиты. Для обеспечения надежной 
защиты и упрощения управления сетью Windows МТ Server предлагает дамен- 
ную модель. 


Служба каталогов Windows МТ 3 


Доменом называется совокупность компьютеров, характеризующаяся наличи- 
ем общей базы учетных записей пользователей и единой политики защиты. 
Централизованные средства управления учетными записями пользователей и 
политикой защиты позволяют администратору эффективно поддерживать за- 
щиту системы в рамках отдела, подразделения и всего предприятия. 


У каждого домена есть свое уникальное имя, которое отражает либо его функ- 
циопальное назпачение (скажем, DEVELOPERS DOM), либо местонахождение 
(MOSCOW_EAST), либо что-то, понятное Вам одному (вроде MASTER _DOM1). 
Помните: русские символы в имени домена использовать нельзя, так как это 
может вызвать проблемы совместимости. 


Замечание: тени Be знакомы с понятием доменов в 3 UNIX-< -сетях. Tax BOT: 
домены Windows МТ ничего ее о с ними не имеют. 


Администрирование домена 


В Windows NT Server администрирование переносится с одного компьютера на 
весь домен. Независимо от числа компьютеров в домене администратор имеет 
дело только с одной учетной записью для каждого пользователя, а у каждого 
пользователя есть только одна учетная запись. Компьютер в домене, на котором 
хранится база учетных записей всего домена, называется первичным (или глав- 
лм) контроллером домена (Primary Domain Controller — PDC). Для обеспече- 
ния надежного хранения столь важной информации Windows МТ Server тира- 
жирует ее на другие компьютеры домена — резервные контроллеры домена 
(Backup Domain Controller — BDC). Это гарантирует сохранность важной ин- 
формации при выключении или сбое первичного контроллера домена. Такая 
структура позволяет также минимизировать средства аппаратной защиты, ос- 
нащая ими только контроллеры домена, и ограничить доступ к этим, наиболее 
критичным, компопентам сети, установив их в отдельном помещении, лучше 
всего — физически защищенном. 


Кроме контроллеров домена (РОС и ВОС), в состав домена могут входить серве- 
ры (servers) — компьютеры, работающие под управлением Windows МТ, но не 
выполняющие фуикции контроллера домена: файл-серверы, серверы печати 


или приложений. На них, например, могут выполняться приложения, входящие 
в Microsoft BackOffice. 


Серверы включаются в домен, если: 


» па сервере должиы выполняться критичные по надежности и быстродей- 
ствию приложения и он не должен тратить времени на регистрацию пользо- 
вателей и тиражирование базы Security Account Manager (SAM) на другие 
серверы; 


> администратору этого сервера нельзя быть администратором всего домена; 
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> в будущем планируется перенести сервер в другой домен; 


> сервер нужно использовать для администрирования серверов домена. 


При просмотре сетевых ресурсов пользователь видит все компьютеры, вклю- 
ченные в домен, в виде групп, названнных аналогично представляемым на экра- 
не рабочим группам. 


Connect Network Drive 


Dive fc i 
ee 
Connectas [od 


| Reconnect at Logon 


Shared Directories: Expand by Default 


Y* Microsott Windows Network 
#@ MOW-DEMO-M 
& RUS-MOSscoW ad 
“ByMow POC Moscow Primary Domain Сор” 
‘By Mow-sa-1 Moscow SQL Server 1 oe 


"М MOW-SGL-2 
Е MOW-SRY-1 Moscow Office Server 1 


"Е МТОМАА 


ИУ МТОМИТАУУ 
Е МТЕУОБОВЕ4МОВИ. 
"М NTFYODORZP133 


АНТУАНА 


Отображение на экране доменов и входящих в них компьютеров. 


В каждом домене может быть только один первичный контроллер домена. Все 
изменения, вносимые в базу учетных записей пользователей SAM (см. главу 
Система безопасности Windows NT), выполняются только на этой машине. 
Компьютер, выполняющий роль первичного контроллера домена, можно изме- 
нить с помощью Server Manager, входящего в поставку Windows NT Server. Для 
этого в Server Manager выберите имя сервера, который должен стать первич- 
ным контроллером домена. Он обязательно должен быть резервным коитрол- 
лером. После этого выберите команду Promote to Primary. 


В течение некоторого времени после исполнения этой команды будет идти 
сиихронизация баз ЗАМ. Повышение статуса BDC до статуса РОС автоматичес- 
ки понижает статус прежнего РОС до уровня ВОС. 


А надо ли вообще менять статус контроллера? Рассмотрим простой пример. 
Допустим, Вы администратор крупной сети с десятками пользователей и соби- 
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раетесь поменять компьютер, выполняющий роль первичного контроллера до- 
мена. Если просто установить Windows МТ Server на новый компьютер и объя- 
вить его первичным контроллером домена, то, во-первых, имя этого домена 
будет иным (так как имена доменов в сети уникальны), а во-вторых, на нем 
придется заново создавать учетные записи всех пользователей, переопределяя 
права доступа к ресурсам на всех остальных серверах. Чувствуете, во что это 
выльется? Если же объявить новый сервер резервным контроллером существую- 
щего домена, то после повышения его статуса до РОС (это дело нескольких ми- 
HVT) можно выключить бывший первичный контроллер без малейшего ущерба 
для работы сети (конечно, если этот сервер не выполнял больше никаких других 
функций). 


Администрирование домена 


% 4 
SR nes. 


Повышение ig 
статуса Синхронизация 


Резервные контроллеры домена — BDC — обеспечивают доступ к базе SAM 
только в режиме чтения. ВОС (в домене их может быть несколько) может отве- 
чать на запросы об учетных записях и идентифицировать пользователя, но не 
вносить изменения в базу SAM. 


Пользователи, не являющиеся членами домена, по определению не имеют прав 
доступа к ресурсам домена. Как говорится, “мой ДОМен — моя крепость”. 
Пользователь в домене как за каменной стеной: ни к нему никто не ворвется 
снаружи, ни он не сделает ни шагу за границы домена. 


На предприятии домены можно организовать по самым разным признакам: 
функциональному, территориальному и др. Подробнее о способах организации 
доменов я расскажу ниже. 
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Нагрузочная способность доменов 


В каждом домене содержатся учетные записи пользователей, машин и групп как 
встроенных, так и созданных (см. раздел Группы пользователей). Каждый из 
этих объектов занимает место в базе SAM. Практическое ограничение на размер 
файла базы SAM зависит от типа процессора и от объема оперативной памяти 
компьютера, используемого для администрирования домена. Предвижу недо- 
уменные и даже схидные возгласы: а разве объем базы SAM зависит от типа 
процессора? Дело в том, что одним из критериев определения этого объема 
является время загрузки файла базы при администрировании, а также время 
аутентификации пользователя. Понятно, что чем больше размер базы и чем 
больше в ней хранится учетных записей, тем дольше идет регистрация. Есте- 
ственно, чем производительней процессор, тем быстрее выполняется авториза- 
ция пользователей. Microsoft рекомендует максимальный размер файла базы 
ЗАМ в 40 Мб. Файлы большего размера требуют значительного времени загруз- 
ки при администрировании. 


Различные типы объектов занимают в базе разное пространство: 


Объект Используемый объем 
учетная запись пользователя 1,0 Кб 
учетная запись машины 0,5 Кб 
учетная запись группы 4,0 Кб 


Ниже приведены примеры распределения объектов в базе SAM: 


Учетные записи Учетные записи Учетные записи Общий объем 


пользователей машин групп базы ЗАМ 
1 рабочая станция 2000 2 000 30 3,12 M6 
на 1 пользователя 
2 рабочих станции 5 000 10 000 100 10,4 Мб 
на 1 пользователя 
2 пользователя на 10000 5 000 150 15,1 Мб 
1 рабочую станцию 
1 рабочая станция 25 000 25 000 200 38,3 Мб 
на 1 пользователя 
1 рабочая станция 26 000 26 000 250 40 Мб 
на 1 пользователя 
1 рабочая станция 40 000 0 0 40 Мб 


на 1 пользователя 


Как видите, в одном домене может быть до 40 000 учетных записей пользовате- 
лей. Используя модели нескольких мастер-доменов (см. ниже), сеть может 
включать до 100 000 учетных записей пользователей. 
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Доверительные отношения 


В доменной модели защита реализуется с помощью Windows МТ Server установ- 
лением доверительных отношений. Так называется связь между доменами, по- 
зволяющая пользователям одного домена узнать о пользователях и ресурсах 
другого. В доверительных отношениях участвуют доверяющий домен (trusting 
domain) и доверяемый домен (trusted domain). Доверяющий домен распознает 
учетные записи всех пользователей и групп пользователей доверяемого домена. 
OTH учетные записи можно поместить в локальные группы доверяющего доме- 
на для пазначения им прав и привилегий. (Подробнее о группах, правах и при- 
вилегиях см. раздел Груипы пользователей.) Доверительные отношения позво- 
ляют пользователю, имеющему учетную запись в одном домсне, осуществлять 
доступ к ресурсам всей сети. 


Доверительные отношения — это, по сути, административные и коммупикаци- 
онные связи. Когда они установлены, пользователи одного домена могут обра- 
щаться к ресурсам другого. И все же в большей степени такие отношения — 
средство администрирования, а не параметр, присваиваемый системой пользо- 
вателю, и их надо рассматривать с точки зрения администрирования учетных 
записей, но пе как возможность использования ресурсов. 


Доверительные отношения упрощают администрирование сети путем объеди- 
нения двух и более доменов в один административный узел. Допустим, при 
наличии четырех доменов стандартная схема предполагает четыре различные 
базы SAM с раздельным адмипистрированием. Установив же между доменами 
доверие, Вы обойдетесь одной базой и небольшим количеством групп. 


Подчеркнем: первое преимущество доверительных отношений в том, что 
пользователь получает доступ ко всем ресурсам сети, не выполняя дополнитель- 
ной регистрации. И второе: администратор сети может управлять всей сетью с 
одного места. Для установления доверительных отношений необходимо, чтобы 
в состав сети входил Windows МТ Server. 


Типы доверительных отношений 


Существует два типа доверительных отношений между доменами: односторон- 
ние (One-way trust) и двусторонние (two-way trust). 


> При односторонних пользователи только одного домена (доверяемого) 
имеют доступ к ресурсам другого (доверяющего). 


— При двусторонних оба домена являются и доверяющими, и доверяемыми. У 
пользователей любого из доменов имеется доступ к ресурсам другого домена. 
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Между несколькими доменами могут устанавливаться множественные довери- 
тельные отношения. Например, несколько доменов могут доверять одному (в 
котором хранятся учетные записи всех пользователей), или один домен может 
доверять сразу нескольким доменам, при этом любые отношения доверия могут 
быть как двусторонними, так и односторонними. 


В дальнейтем на рисунках доверительные отношения обозначаются стрелка- 
ми. Домены, па которые они указывают, — доверяемые (в них хранятся учетные 
записи). А исходить стрелки будут от доверяющих доменов (в них находятся 
ресурсы). Образно говоря, стрелки указывают на “людей, которым можно довс- 
PATH”. 


Доверительные отношения можно представить так. Допустим, Вы собрались в 
командировку, а дома у Вас цветы, которые надо поливать. Вы даете соседу ключ 
от квартиры. В Ваше отсутствие он беспрепятственно входит к Вам в дом, поли- 
вает цветы, смотрит телевизор и т.п. Вы же лишены возможности без его разре- 
шения попасть в его квартиру — своего-то ключа он Вам не давал! 


Но если сосед тоже часто бывает в отлучках, а дома у него кот, которого надо 
кормить, то ему ничего не остается, как дать ключ от своей квартиры Вам. И тогда 
Вы тоже сможете беспрепятственно входить в его квартиру. Это пример двусто- 
ронних отношений доверия. Строго говоря, пример не совсем корректен — ре- 
сурсы доверяющего домена доступны постоянно. (В рассмотренном примере — 
даже когда Вы дома и принимаете даму, а сосед врывается с лейкой в самый 
неподходящий момент.) 


Роль доверительных отношений в сети чрезвычайно важна. Независимо от 
того, в каком месте сети он регистрируется, пользователь может указать не 
только свое имя, но и домен, к которому принадлежит. Так что он и доступ в сеть 
получит, и сохранит все привилегии и права, которыми обладает в своем домене. 


Устанавливая доверительные отношения, сначала определите, где будут нахо- 
диться учетные записи пользователей, — ведь пользователи, имеющие учетные 
записи в доверяемом домене, получат те же права и привилегии в доверяющем 
домене. 


Так как доверительные отношения — в первую очередь средство администри- 
рования учетных записей пользователей, определите домен учетных записей 
(account domain), а затем разрешите в нем другим доменам доверять ему. 


Любой домен может инициировать установление доверительных отношений, 
но заверитить установление можно только реализацией таких отношений в 
обоих доменах. Для этого предназначена команда Trust Relationships из меню 
Policies в User Manager for Domains. 
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= Trust Relationships 


Domain. MOW-DEMO-M 


Trusted Domains: 
CENTRALEUROPE 
RUS-MOSCOW 

WINEXPO95 


Permitted to Trust this Domain: 
CENTRALEUROPE 

RUS-MOSCOW 
WINEXPO95 


Диалоговое окно Trust Relationships. 


В изображенном на рисунке диалоговом окне два списка. В верхнем пе- 
речислены доверяемые домены, в нижнем — доверяющие. Домен MOW-DEMO-M 
является доверяющим для доменов  СЕМТКАГЕОКОРЕ, КО$-МО$СОХ,, 
WINEXPO9S. Он же — доверяемый для тех же доменов. Следовательно, это дву- 
сторонние доверительные отношения. 


На рисунке представлены примеры обоих типов доверительных отношений: 


Односторонние 


Ра ых ey Baoan 


~ <. 
wee teas 
- oN 


Ресурсы и учетные Ресурсы и учетные 
записи записи 


Администратор большой сети всегда должен иметь полную информацию о CO- 
стоянии домена и его связей с другими. Ведь от того, как осуществляется синх- 
ронизация между базами учетных записей на контроллерах домена, и от воз- 
можности контроллера одного домена связаться с контроллерами доверяемых 
доменов зависит, насколько беспроблемно пользователи будут осуществлять 
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доступ к ресурсам других доменов и регистрацию в них. Получить такую ин- 
формацию поможет утилита Domain Monitor из Windows МТ Resource Kit, no- 
зволяющая отслеживать состояние сразу нескольких доменов. 


DC Replication Connection Link to Trusted 
DC Name Status Status to PDC Domain 
|: \WMOW-PDC-1 Online AccDem Unknown BadPath 
я МО -5 0-1 Online AccDeni Unknown BadPath 
\WMOW-SOL-2 Online AccDeni Unknown BadPath 
FE AMOW-SRY-1 Online Success InSync Success 
Of \WMOW-RAS-1 OffLine BadPath Unknown — BadPath 
ad SANTDIMAS_SGL OffLine BadPath Unknown BadPath 


Link status of \\MOW-PDC-1 to its trusted domain: 

Trusted Domain Trusted DC Secure Channel Status 
MIDDLEEAST Unknown 
SOUTHERNEUROPE Linknown 
MOwW-DEMO Unknown AccDeni 

SQUTHPACIFIC Unknown AccDeni _ : chow Thated DE 
CENTRALEWIROPE Linknown AccDeni Re Sb i ted cetsdecatieat 
FAREAST Linknown 


AccDeni 


AccDeni 


Диалоговое окно Domain Controller Status. 


На приведенном рисунке показана достаточно критичная для функционирова- 
ния системы ситуация. Хорото видно, что часть резервных контроллеров доме- 
на уже не существует физически, но продолжает числиться в домене; с некото- 
рыми контроллерами нет связи и наблюдается рассинхронизация; для многих 
доверяемых доменов даже неизвестно имя их РОС, а доступ к ним запрещен! 


Типы доменных моделей 


Между 2-3 доменами доверительные отношения организовать довольно просто. 
С ростом числа доменов и административных групп управление сетью услож- 
няется. Поэтому существует четыре концептуальные модели доменных отноше- 


ний; однодоменная, с одним мастер-доменом, с песколькими мастер-доменами 
и полностью доверительная. 


Однодоменная модель 


Модель с одним доменом подходит компаниям с небольшим числом пользова- 
телей и ресурсов. Поскольку домен только один, в доверительных отношениях 
нет необходимости. Администратор домена управляет всей сетью. Основные 


компоненты этой модели — пользователи и группы со своими ресурсами. Эта 
модель изображена на рисунке ниже. 
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ВОС 


серве 
РОС ина 


Однодоменная модель. 


В таблице перечислены преимущества и недостатки однодоменной модели. 


Преимущества Недостатки 

Лучшая модель для организаций Низкая производительность, если в домене 
с неболыним числом пользователей слишком много пользователей и групп. 

и ресурсов. 

Централизованное управление Нет группирования пользователей по 
учетными записями пользователей. подразделениям. 

Локальные группы определяются Нет группирования ресурсов. 

только один раз. 

Не нужно устанавливать При большом числе серверов медленно 
доверительные отношения. выполняется просмотр сети. 


Максимальное число учетных записей пользователей в одном домене — 40 000. 
Однако, планируя домен, следует учитывать, что максимальная нагрузка на один 
резервный контроллер домена — 2 000 учетных записей. 


Модель с одним мастер-доменом 


Эта модель удобна для тех фирм, где не требуется разделения на несколько 
доменов в организационных целях. Она позволяет осуществлять централизо- 
ванное управление в сочетании с преимуществами использования нескольких 
доменов. На рисунке Вы видите схему модели с одним мастером-доменом: 
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Модель с одним мастер-доменом. 


В этой модели всего один домен учетных записей. Учетными записями всех 
пользователей, находящимися в одном месте, управлять очень просто. Мастер- 
домен является доверяемым, а все остальные устанавливают с ним односторон- 
ние доверительные отношения. Поэтому пользователи, имеющие учетные запи- 
си в мастер-домене, получают доступ к ресурсам в доверяющих доменах, за- 
регистрировавитись в сети лить один раз. В этой модели процесс администри- 
рования делится на две части: администрирование учетных записей в мастер- 
домене и администрирование ресурсов во всех остальных доменах. Админист- 
ратор может поручить администрирование ресурсов в одном из доверяющих 
доменов какому-либо лицу, чья рабочая станция входит в этот домен. 


Данная модель наглядно демонстрирует двухъярусное построение домена. Ма- 
стер-домен принадлежит к первому ярусу, все остальные — ко второму. 


Для упрощения администрирования доступа к ресурсам администратор должен 
создать глобальные группы в мастер-домене и включить их в соответствующие 
локальные группы в доверяющих доменах. Создав такие группы, администрато- 
ру остается включить пользователя в ту или иную глобальную группу, чтобы 
обеспечить права на доступ к определенным ресурсам. (О группах см. раздел 
Группы пользователей.) 


Модель с одним мастер-доменом наиболее приспособлена для: 


» централизованного управления учетными записями (добавление, удаление 
и модификация учетных записей выполняются из одной точки); 
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» децентрализованного управления ресурсами или локального системного 
администрирования; домены подразделений могут иметь своих соб- 
ственных администраторов, управляющих ресурсами подразделения; 


> логической группировки ресурсов (ресурсы можно сгруппировать в соот- 
ветствии с локальными доменами); 


» сетей, в которых общее число учетных записей пользователей и групп не 
превышает 40 000. 


При реализации этой модели придерживайтесь следующих рекомендаций: 


> Число доменов второго яруса не должно быть большим. Поэтому не стоит 
автоматически включать небольшие офисы и подразделения в отдельный 
домен второго яруса. Лучше их включать в уже существующие домены. 


> Модель с одним мастер-доменом предъявляет требования к расположению 
резервных контроллеров домена: 


> Если ресурсные домены подключены к домену учетных записей 
глобальными линиями связи, в ресурсиом домене должен быть 
хотя бы один ВОС для аутентификации пользователей этого доме- 
на в случае разрыва линии связи; 


» Если ресурсные домены находятся в той же локальной сети, что и 
домен учетных записей, то нет необходимости размещать в них 
ВОС. 


Ниже перечислены преимущества и недостатки рассмотренной модели. 


Преимущества Недостатки 

Удобна для тех организаций, где Низкая производительность, если в 
отпосительно немного пользователей, домене слишком много пользователей 
а ресурсы нуждаются в группировке. и групп. 

Глобальные группы определяются Локальные группы необходимо 
только один раз. определять в каждом из доменов, 


где они будут использоваться. 
Ресурсы группируются локально. 


Домены подразделений могут иметь 
собственных администраторов, 
управляющих ресурсами 
подразделений. 


Централизованное управление 
учетными записями пользователей. 


Поддержка до 40 000 учетных записей. 
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Модель с несколькими мастер-доменами 


В этой модели используются два и более мастер-доменов. Аналогично тому, как 
это сделано в предыдущей модели, здесь мастер-домены являются доменами 
учетных записей. Каждый пользователь организации имеет учетную запись в 
одном из мастер-доменов. Администраторы системы могут централизованно 
управлять всеми учетными записями. Все остальные домены являются ресурс- 
ными — в них содержатся не учетные записи пользователей, а сгруппирован- 
ные ресурсы, такие как принтеры и файл-серверы. 


В этой модели каждый мастер-домен связан с другим двусторонними довери- 
тельными отношениями. Каждый ресурсный домен доверяет каждому мастер 
домену и имеет с ним односторонние доверительные отношения. Так как учет- 
ная запись пользователя хранится в одном из доменов учетных записей, а между 
всеми доменами учетных записей установлены двусторонние доверительные 
отношения и все ресурсные домены доверяют мастер-доменам, пользователь 
получает доступ ко всем ресурсам организации. Схематично модель с несколь- 
кими мастер-доменами представлена на рисунке. 


Мастер-домены 


Ресурсные домены 


Модель с несколькими мастер-доменами. В этом примере на каждую 
учетную запись пользователя приходится одна учетная запись машины. 
Следовательно, в каждом из мастер-доменов может быть 

до 26 000 учетных записей пользователей. 
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Пользователи должны регистрироваться в домене, содержащем их учетные 3a- 
писи. В каждом мастер-домене должно быть не менее двух серверов, на которых 
происходит аутентификация пользователей. 


В модели с несколькими мастер-доменами группы используются точно так же, 
как и в модели с одним мастер-доменом. Администраторы, создав глобальные 
группы в каждом из мастер-доменов, включают пользователей в те или иные 
глобальные группы. Затем глобальные группы включаются в различные локаль- 
ные группы для обеспечения доступа к нужным ресурсам в доменах второго 
яруса. 


В таблице перечислены преимущества и недостатки модели с несколькими 
мастер-доменами. 


Преимущества Недостатки 
Лучший выбор для компаний с Как локальные, так и глобальные группы 
больтим числом пользователей необходимо определять несколько раз. 


и одним центральным офисом 
технического персонала. 


Масштабируемость на любое Учетные записи пользователей не находятся 
число пользователей. в одном домене. 
Ресурсы группируются логически. Необходимо устанавливать большое 


количество доверительных отношений. 


Домены подразделений могут 
иметь своих администраторов, 
управляющих ресурсами 
подразделения. 


Мобильные пользователи могут 
быть зарегистрированы в любом 
месте сети. 


Поддержка более 40 000 учетных записей. 


При реализации сети следует учесть те же требования к расположению и количе- 
ству резервных контроллеров домена, что и в случае с одним мастер-доменом: 


> один BDC должен обслуживать не более 2 000 учетных записей; 


» CCH ресурсный домен связан с доменами учетных записей через глобаль- 
ную сеть, он должен иметь по крайней мере по 1 ВОС для каждого из мастер- 
доменов. 
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Модель полностью доверительных отношений 


Модель полностью доверительных отношений подходит для организаций с 
большими секторами, которые надо разбить на домены по отделам, и где нет 
централизованной технической службы. Это модель полностью децентрализо- 
ванного управления: 


Модель полностью доверительных отношений. 


В модели полностью доверительных отношений администрирование пользова- 
телей и доменов распределено по подразделениям. Это удобно в организациях, 
где доменов немного, но с ростом их числа резко увеличивается количество 
доверительных отношений. Из-за децентрализации данная модель непригодна 
для организаций с централизованной технической службой. 


Группы здесь используются так же, как и в модели с одним мастер-доменом. 
Администратор каждого из доменов определяет глобальные группы и включает 
в них пользователей. Затем он включает эти глобальные группы в локальные 
группы других доменов, чтобы предоставлить доступ к ресурсам. Администра- 
тор должен определить и локальные группы и связать их с определенными 
ресурсами. Так что каждый из доменов является одновременно и ресурсным, и 
доменом учетных записей. 


Благодаря двусторонним доверительным отношениям между доменами, зарегис- 
трированный в своем домене пользователь имеет доступ к ресурсам и остальных 
доменов. Число доверительных отношений, устанвливаемых между п домена- 
ми, определяется по формуле: их(71-1). Так, для 10 доменов нужно 10x(10-1) =90 
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доверительных отношений. Добавление одного домена к 10 существующим 
требует установки 20 новых отношений доверия. 


В таблице приведены преимущества и педостатки модели полностью довери- 
тельных отношений. 


Преимущества Недостатки 

Подходит для компаний без Отсутствие централизованного 
централизованной технической управления не позволяет использовать 
службы. эту модель в организациях с 


централизованной технической службой. 


Масштабируется на любое число Необходимо устанавливать очень больиюе 
пользователей в сети. число доверительных отношений. 

Каждое подразделение имеет Каждый отдел зависит от другого в плане 
полный контроль над своими допуска пользователей в глобальные 
пользователями и ресурсами. группы. 


Как ресурсы. так и учетные записи 
пользователей сгруппированы 
по подразделениям. 


Масштабируются в сетях с числом 
пользователей, превышающим 40 000. 


Главный недостаток этой модели — слабость контроля за пользователями и 
группами в каждом из доменов. Поэтому применять ее не рекомепдуется. 


Практическая реализация доменных моделей 


Познакомившись с описанием доменных моделей и, в частности, моделей с од- 
ним или несколькими мастер-доменами, Вы можете задать вопрос: “Что и где 
нужно указать в настройках Windows МТ Server, чтобы объявить его контроллером 
мастер-домепа или контроллером ресурсного домена?” 


Подчеркнем: это чисто организационное деление. Нет никакой принципиаль- 
ной разницы между первичными контроллерами этих доменов. Единственное 
отличие в том, что в мастер-доменах учетные записи пользователей и глобаль- 
ные группы есть, а в ресурсных доменах их нет (но имеются локальные груп- 
пы). Стоит Вам забыться и создать несколько учетных записей пользователей в 
ресурсном домене, как он перестанет быть чисто ресурсным, а администриро- 
вание сети несколько усложнится. Правда, как Вы увидите в дальнейшем, это не 
так страшно, как может показаться. 
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Гибкость использования разных 
моделей доменов в организациях 


Имея несколько моделей организации доменов, Вы создадите гибкую и наращи- 
ваемую сеть, которая будет соответствовать меняющейся структуре компании. 
При этом используется исключительно Windows МТ Server. В особенности удов- 
летворяются потребности: 


— организаций с большим количеством филиалов; 
— болыпих оргапизаций: 


— систем, в которых необходимо обеспечить защиту важной информации. 


Расширить систему очень просто. Один домен в дальнейшем можио объеди- 
нить с доменом другого офиса или связать с уже существующим большим доме- 
ном. Так как конкретная организация сети зависит от конкретного предприятия 
(его структуры, расположения, вида деятельности и т.п.,), ниже представлены 
варианты организации доменов. 


Предприятия с несколькими независимыми 
направлениями производства 


Рассмотрим предприятие, занимающееся несколькими независимыми направ- 
лениями бизнеса, например: консалтингом, операциями с недвижимостью и 
розничной торговлей. В каждом из подразделений — свои группы маркетинга, 
продаж и обработки данных. Однако в центре предприятия есть неболыпая 
группа, в задачи которой входит функциональное обслуживание, скажем, фи- 
нансы, бухгалтерия и кадры. 


Чаще всего служащие одного подразделения используют ресурсы только своего 
подразделения (похоже на модель с одним мастер-доменом), однако иногда им 
(в особенности служащим центрального подразделения) нужен доступ к ресур- 
сам другого подразделения, для чего требуется связь между мастер-доменами. 
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Консалтинг Недвижимость Розничная 
торговля 


Ресурсные домены 


Модель с несколькими мастер-доменами на предприятии с несколькими 
независимыми линиями бизнеса. 


Крупные предприятия 


В данном примере рассмотрена очень большая организация с числом сотруд- 
пиков, превышающим 100 000 человек, расположенных в нескольких местах. 
Используя модель с несколькими мастер-доменами, в каждый домен можно по- 
местить до 26 000 пользователей. В соответствии с заданным сценарием надо 
создать не менее 4 мастер-доменов, каждый из которых будет содержать по 25 000 
учетных записей пользователей и машин. Если же компьютеров гораздо мень- 
ше, число учетных записей пользователей в домене может достигать 40 000. 


Москва С-Петербург Новосибирск Владивосток 


Ресурсные домены 


Модель с несколькими мастер-доменами на предприятии с числом 
сотрудников, превышающим 100 000. 
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Домены, в которых определены пользователи, могут разделяться по самым раз- 
ным признакам: по алфавиту, секторам или физическому местоположению. 
Однако для пользователя это безразлично, так как между всеми мастер-домена- 
ми установлены двусторонние доверительные отношения. 


Филиалы 


В случае с филиалами можно задействовать как модель с одним доменом, так и 
модель с одним мастер-доменом. Предполагая, что РОС связан с филиалом по- 
средством коммутируемой линии через модем или аналогичной линией связи, 
в каждом филиале необходим ВОС. Резервный контроллер будет использовать- 
ся как для аутентификации локальных пользователей, так и в качестве сервера 
файлов и сервера печати. Для защиты от сбоев можно добавить и второй ВОС. 


Москва 


BDC 


С.-Петербург Тверь Ярославль 


Офисы в филиалах: соединение в рамках одного домена. В каждом 
филиале требуется один резервный контроллер дамена. 


защищенные домены 


В модели нескольких мастер-доменов между доменами учетных записей уста- 
новлены двусторонние доверительные отношения, что предоставляет пользо- 
вателям доступ к ресурсам всех доменов. Однако некоторые подразделения 
могут обладать конфиденциальной информацией (скажем, финансовыми запи- 
сями, сведениями о кадрах и т.п.). Тогда вся организация может обслуживаться 
в рамках модели с одним мастер-доменом, а финаисовое и кадровое подразде- 
ления выделяются в отдельные домены. Они доверяемы главным мастер-доме- 
ном, но не доверяют ему, т.е. пользователи финансового и кадрового домена 
имеют доступ к ресурсам предприятия, а пользователи предприятия доступа к 
ресурсам этих двух защищенных доменов лишены. 
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Финансовый Москва Отдел кадров 
отдел Управление 


Ресурсные домены 


защищенные домены: пользователи доменов финансового отдела и отдела 
кадров имеют доступ к ресурсам всего предприятия, однако сотрудники 
предприятия лишены доступа к ресурсам этих двух доменов. 


Таким образом, выбор модели доменов зависит от числа пользователей и от 
того, как управлятся предприятие. В таблице приведены рекомендации по вы- 
бору оптимальной модели доменов. 


Один Несколько Полностью 
Одиночный macmep- мастер- доверительные 
Атрибут домена домен домен доменов отношения 


Менее 40 000 © у У 
пользователей в домене 


Более 40 000 У 
пользователей в домене 


Централизованное у у v! 
управление учетными 
записями 


Централизованное 
управление ресурсами * ¥ 


Децентрализованное у! у 
управление учетными 
записями 


Децентрализованное у у и 
управление ресурсами 

Центральная у у у 

техническая служба 


Отсутствие центральной У 
технической службы 


Модель с песколькими мастер-доменами позволяет осуществлять как централизованное, так и децентрализоваинное 


управление ресурсами. 
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Рекомендации по нагрузке доменов 


Соотношение между числом рабочих станций и серверов в домене определяет 
скорость отклика во время регистрации пользователя в домене. Чем больше 
резервных контроллеров домена, тем больше пользователей одновременно за- 
регистрируются. Один ВОС поддерживает до 2 000 учетных записей пользова- 
телей. Ниже в таблице приведено количество ВОС в зависимости от числа 
пользователей. Данные рассчитаны, исходя из того, что в качестве ВОС исполь- 
зуются компьютеры с конфигурацией 486/06 с 32 Мб оперативной памяти. 


Число рабочих станций Число серверов ВОС 


10 1 
100 1 
500 1 

1000 1 
2 000 1 
5 000 2 
10 000 5 
20 000 10 
50 000 Io 


При расчете учтено, что все точки расположения BDC связаны с первичным 
контроллером быстрыми линиями связи. Во многих организациях установку и 
конфигурирование ВОС выполняют одновременно с установкой РОС, а после 
завершения синхронизации переносят в нужное место. 


Выбирая тип компьютера для использования в качестве РОС или ВОС, ориенти- 
руйтесь на данные, приведенные в таблице: 


Число Минимально Требуемый объем 
Размер файла учетных записей необходимый тип оперативной 
базы ЗАМ пользователей! процессора памяти" 
5 Мб до 3 000 4860Х/33 52 Мб 
10 Мб 7 500 486DX/66 32 M6 
15 M6 10 000 Pentium, MIPS, Alpha AXP 48 Мб 
20 M6 15 000 Pentium, MIPS, Alpha АХР 64 Мб 
30 M6 20 000-30 000 Pentium, MIPS, Alpha АХР 128 Мб 
40 M6 50 000-40 000 Pentium, MIPS, Alpha АХР 1066 M6 


! Число учетных записей пользователей указано приблизительно. Реально оно определяется совокупностью числа 
учетных записей пользователей, групи и компьютеров. 


» 
~ Объем оперативной памяти должен быть минимум в 2.5 раза больше объема базы SAM. 


Служба каталогов Windows МТ 


Требования к серверу при установлении 
доверительных отношений 
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В Windows МТ версии 3.5х максимальное рекомендуемое число доверительных 
отношений, которое можно установить с одним доменом, равно 128. (Заметьге: 
нигде нет такого параметра, как просто максимальное число доверительных 
отношений.) 


33а з 


В Windows МТ 4.0 служба каталогов NTDS позволяет использовать боль- 
шее число доверительных отношений, и, надо отметилъ, это число может 
расти вместе с ростом объема оперативной памяти. В общем случае оно 
зависит от объема пула нестраничной памяти (NON-paged pool — NPP). 


По умолчанию объем NPP зависит от объема памяти на сервере следую- 
щим образом: 


52 Мб ОЗУ соответствует 1.2 Мб NPP (максимум 140 доверяемых доменов); 
64 Мб ОЗУ соответствует 2.125 M6 NPP (максимум 250 доверяемых доменов); 
128 Мб ОЗУ соответствует 4.125 Мб МРР (максимум 500 доверяемых домепов). 


Так как размер МРР может быть изменен администратором, то сервер с 
объемом оперативной памяти 64 Мб вполие будет способен поддержи- 
вать 500 доверительных отношений. 


ГЛАВА 2 


Планирование 
и установка системы 


Театр начинается с вешалки, а операционная система — с установки. 
Перефразируя известную пословицу, можно сказать: как установишь, 
так и поработаешь. Так что прежде чем схватить коробку с NT Server 
и броситься его устанавливать, сначала как следует все спланируйте. 
Установка системы без предварительного определения типа кампью- 
теров, протоколов и взаимоотношений равносильна потере номерка в 
толчее y театрального гардероба. 
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Планирование системы 


Прежде чем приступить к планированию системы, стоит задуматься о главном: 
а что, собственно говоря, Вы желаете получить от своей сети? Какова цель зате- 
ваемой перестройки? Может, это просто дань моде, и Вы с парой сотрудников 
компании вполне справитесь с работой и без сети? Нет? Тогда будьте готовы 
ответить на такие вопросы: 


Сколько и каких компьютеров в Вашей организации? 
Используете ли Вы уже сеть? 

Как территориальчо расположены рабочие места? 
Какие задачи Вы решаете и собираетесь решатъ? 


Каковы взаимоотношения между подразделениями? 


УУУУУУ 


Есть ли у Вас грамотные технические специалисты, способные обслуживать 
СЕТЬ” 


> Итд. ити. 


Понятно, что Вы один не сможете ответить на все вопросы. Посоветуйтесь с 
сотрудниками, обратитесь к знакомым, которые уже прошли этот тернистый 
путь и могут предостеречь Вас от возможных ошибок. 


Роль Windows МТ Server в сети 


Во Введепии я уже перечислял функции, которые выполияет NT Server. Давайте 
“примерим” их теперь к своим задачам. Чтобы сделать правильный выбор типа 
и количества требуемой техники, а также определить необходимое число ли- 
цеизий на программное обеспечение, заполним такую табличку: 


Функция Число Используемые Объем дискового Примерный 
пользователей приложения пространства объем памяти 


Файл-сервер 

Сервер печати 

Сервер приложений 

Сервер удаленного доступа 
Сервер вспомогательных служб 
Контроллер домена 


Сервер связи или эмуляции Netware Server 
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Файл-сервер 


Файл-сервер, как правило, нужен всем. Причем сегодня, когда стоимость жест- 
кого диска объемом 1Гб такова, что его можно установить практически на каж- 
дом рабочем месте, ценность сервера файлов заключается только, пожалуй, в 
возможности организации эффективной работы коллектива над документами 
и в простоте контроля и управления персональными каталогами. Не надо ду- 
мать, что сервер — файловая свалка, которую почему-то упорно называют 
файл-сервером. 


Нет, возразят мне, файл сервер еще можно использовать для хранения одной 
копии какого-либо офисного продукта и запускать его с рабочих станций. А 
cule на нем можно хранить... базы данных. А еще... Постойте, не горячитесь. Так 
мы дойдем до того, что на нем можно жарить яичницу. Разберемся спокойно. 
Итак, Вы хотите запускать с сервера несерверные приложения (именно “песер- 
верные” — ведь офисные продукты являются персональными)? Давайте рас- 
смотрим несколько типичных ситуаций, о которых прошедшие через это рас- 
сказывали мне со слезами на глазах. 


Ситуация первая: начало рабочего дня. Каждый пользователь включает компь- 
ютер и запускает с сервера свои офисные приложения. Их минимум 3: тексто- 
вый процессор, электронная таблица и персональная база данных. Нетрудно 
представить, как в это время будут перегружены и сеть, и сам сервер. Нужно 
обеспечить большой “запас прочности” сервера, чтобы OH He “проседал” в пико- 
вые моменты времени. 


Ситуация вторая: администратор выключает сервер для профилактики. Не- 
смотря на малую вероятность (кто среди рабочего дня выключит сервер?) такое 
случается довольно часто. Чего только не рассказывают “бывалые” о вредных 
уборщицах, всеядных тараканах, пьяных электриках и т.п., стремящихся всеми 
способами вывести сервер из строя! Что происходит, если пользователь, запус- 
тив Word с сервера, редактирует документ, также находящийся на сервере в 
момент выключения сервера? Правильно. Лексику, употребляемую в этот мо- 


CAL 


мент, лингвисты называют "ненормативной . 


Ситуация третья: Вы используете некоторую программу, написанную Ha 
Клиппере, Dbase или иной подобной системе доступа к данным путем HX совме- 
стного использования (file sharing database). Данные конфиденциальны, и Вам 
хотелось бы, чтобы пользователи получали к ним доступ только через Вашу 
программу, которая по лишь ей ведомым правилам разграничивает доступ. Не 
выйдет! Либо Вы разрептаете пользователю работать ТОЛЬКО с Вашей програм- 
мой и лишаете его остальных возможностей сети, либо Вы его полностью “OT- 
резаете” от сервера с данными, но даете насладиться всеми прочими прелестя- 
MH, придуманными той частью программистской братии, что не писала Вашу 
убогую программу. Чем раньше Вы перейдете на системы типа “клиент-сервер”, 
тем быстрее разрешите эту дилемму. 
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Вы продолжаете настаивать, что файл-сервер Вам нужен? Что ж, впиитите в таб- 
личку. скольким пользователям он понадобится, каков объем общедоступных 
файлов, сколько мегабайтов Вы разрешаете иметь каждому пользователю и ка- 
кие именно приложения они будут запускать с сервера. 


м OO”. OOOOSoDoD>S>So@NTDmNo@_NnMnac”—MC““—“WVWY"."..QD”n—""0#0©CV-.-.—.—T—|"—--T—-....n.”-.=r=crn=ne=n=nnrnwrennm,rr= 


Кстати: В Windows NT Server нет встроенной возможности квотирования жест- 
кого диска (те. предоставления пользователям лимитироваиного объема). Это 
значит, что независимо от объема жесткий диск на сервере забивается “под 
завязку” уже через несколько дней, и только строгий административный коит- 
роль VAC DISET т пользователей OT _ SEEAPOMG' Плюшкина”. 


Сервер печати 


Серверы печати еще не утратили актуальности. Конечно, пока в болыной сети 
гораздо дешевле поставить 1-2 высокоскоростных и высококачественных ла- 
зерных принтера и предоставить их в совместное использование, чем на каж- 
дое рабочее место — несметное число матричных, струйных или дешевых ла- 
зерных принтеров. 


Однако, выбирая типы и количество принтеров, необходимо руководствоваться 
конкретными задачами. Скажем, принтеры, устанавливаемые в издательстве, 
отличаются от принтеров, обслуживающих бухгалтерию. 


Планируя расположение и тип принтера, оцените количество пользователей, 
которые будут печатать на нем документы, средний объем и количество доку- 
ментов. Данные занесите в табличку. 


Сервер приложений 


Сервер приложений — это компьютер, на котором исполняются “тяжелые и 
мощные молотилки данных”, способные в ответ на запрос, поступающий с кли- 
ентской рабочей станции, перерабатывать огромные массивы информации и 
передавть назад лишь результат. В описании серверных приложений налицо 
две составляющие: серверная и клиентская; поэтому они и называются прило- 
жениями типа клиент-сервер. 


Кстати: Не стоит думать, что если Вы установили Word for Windows на сервер и 
запускаете его со своего рабочего места, то он превратился в клиент-серверное 
приложение. Ничуть не бывало. Он по-прежнему исполняется в памяти и про- 
цессором Вашего компьютера. Вся разница только в том, откуда берется испол- 
няемый файл. 
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К приложениям типа клиент-сервер, работающим под управлением Windows 
NT Server, относятся приложения семейства Microsoft BackOffice: сервер управ- 
ления базами данных Microsoft SQL Server, сервер информационного обмена 
Exchange Server, сервер управления системой Systems Management Server и шлюз 
к большим и мини-компьютерам SNA Server. Кроме того, существует более 2000 
приложений других фирм, таких Kak Lotus, Informix, Oracle, SAP, Platinum, Saros 
и др. К ним стоит приглядеться повнимательней. 


Если Вы уже разработали свое или планируете покупку готового серверного 
приложения, занесите в таблицу количество сотрудников, которые будут одно- 
времеиио использовать его, ресурсы, необходимые для данного приложения, и 
общее количество серверных приложений. 


Сервер удаленного доступа 


Когда речь заходит о сервере удаленного доступа, в первую очередь подразуме- 
ваются мобильные пользователи, разъезжающие по необъятным просторам 
нашей страны с “ноутбуками” под мышкой и периодически “выходящие на 
связь” с родной конторой для передачи важных сведений и получения дальней- 
птих указаний. “Идеалист, — скажете Вы, — где это Вы видели рядового россий- 
ского командированного с «блокнотом» за 10 000$?” Ладно, пусть будет филиал 
какого-нибудь “Зверь-банка” в Тютюшахтинске, имеющий на вооружении 1-2 
персональных компьютера, — идет? 


Как бы там ни было, и в том и в другом случае удаленный доступ вполне возмо- 
жен. Занесите в табличку максимальное число клиентов, одновременно осуще- 
ствляющих удалениый доступ к центральной сети, выделив около 1Мб опера- 
тивной памяти сервера на одного удаленного пользователя. А на полях не за- 
будьге пометить, какие компьютеры (читай: операционные системы) имеются 
на удаленных станциях. 


Но сервер удаленного доступа можно использовать и для связи филиалов между 
собой. Если перед Вами стоит такая задача, подумайте, есть ли у Вас выделенная 
линия или выход в Х.25 или ISDN. Можно, конечно, обойтись и обычными ком- 
мутируемыми линиями, но без некоторого труда Вы эту рыбку не вытянете. 


Сервер вспомогательных служб 


Весьма расплывчатая категория, включающая в себя практически все, что не 
было перечислено выше. Например, такие сервисы, как DHCP, WINS, SNMP, DNS, 
UPS, Backup и массу других. Необходимость в использовании некоторых опре- 
деляется протоколами, применяемыми в сети, других — степенью надежности 
системы, третьих — внешними условиями. Коикретные рекомендации дать 
трудно. В каждом случае откройте соответствующие разделы документации и 
внесите в табличку необходимые данные. 
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Контроллер домена 


В главе Доменная структура сети и взаимоотношения доменов приведены 
конкретные рекомендации по нагрузочной способности контроллеров домена. 
К этим рекомендациям Вы обратитесь позже — когда приступите к выбору тех- 
HHKH. 


Пока просто запишите в таблицу количество пользователей в сети. 


Сервер взаимодействия с Netware 


О взаимодействии с сетевыми продуктами фирмы Novell имеет смысл говорить, 
если у Вас они уже используются. В противном случае об этом лучше даже не 
думать: как бы хорошо ни были исполнены средства сопряжения двух сетей, у 
Вас все равно будет разпородная сеть со всеми вытекающими... 


Планируя установку или приобретение тех или иных сервисов, отметьте на 
полях таблицы версию Netware, с которой необходимо наладить дружествен- 
ные отношения. Если это Netware 2.х или 3.X, можно использовать Windows МТ 
Server версий 3.51 или 4.0. Если же Netware 4.х — полнота взаимодействия дос- 
тигается только в МТ Server версии 4.0 (подробиее см. главу В одной сети с 
Netware). 


Итак, если Вы планируете предоставить клиентам сети Microsoft прозрачный 
доступ к ресурсам (файлам или принтерам) Netware, установите Gateway Service 
for Netware. Для его планирования запишите число сотрудников, которые будут 
одновременно использовать этот шлюз. Оно не должно превышать числа 
пользовательских лицензий для выбранного Netware сервера минус 2. 


При решении обратной задачи, т.е. предоставлении клиентам Netware прозрач- 
ного доступа к серверу Windows МТ, также укажите число сотрудпиков, которые 
будут одновременно использовать ресурсы МТ. 


Не устали? Тогда рассмотрим пример. Допустим, в Вашей организации 75 ком- 
пьютеров. Сейчас часть сотрудников использует сеть Netware 3.12 на 50 лицен- 
зий. На сервере у них установлен Microsoft Office Professional и программа 
складского учета, написаниая Ha Clipper, с которой работают 17 человек. На 
клиентских рабочих местах стоит Windows 3.11. Кроме того, в удаленном фи- 
лиале, куда все данные передаются терминальной программой, установлен 1 
компьютер. 


Вы хотите заменить устаревшую программу складского учета на более совре- 
менную и производительную, предоставить прямой доступ к этой программе 
удаленному филиалу, сделать это как можно дешевле и безболезнеиией и обес- 
печить возможность дальчейшего наращивания возможностей сети. Кроме 
того, на рабочих местах планируется установка Windows 95. А еще Вы желаете 
установить современную систему электронной почты. На первом этапе Вы не 
хотите отказываться от использования сервера Netware. 
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Одно из возможных решений — создать вторую сеть на базе Windows МТ, ин- 
тегрировать ее с существующей, разработать новое приложение складского 
учета, использующего Microsoft SQL Server, организовать сервер удаленного 
доступа. Какое-то время разработанная программа будет эксплуатироваться 
параллельно существующей в тестовом режиме 10 пользователями. Заполнен- 
ная таблица будет выглядеть так: 


Функция Число 
пользователей 
Файл-сервер 75 


Сервер печати 75 


Сервер 10 
приложений re 
Сервер 1 
удаленного 

доступа 

Сервер ы 
вспомогатель- 


ных служб 


Контроллер 73 
домена 


Сервер связи 48 
или эмуляции или 
Netware Server 75 


Используемые Объем дискового Примерный 
приложения пространства объем памяти 
Microsoft 80 M6 ? 

Office Pro. 3 Гб ? 

Персональные 


каталоги (по 40 Мб 
на пользователя) 


средний размер 4 Мб 
документа 500 Мб 


Microsoft SQL Server 100 M6 
Microsoft Exchange 500 M6 
Server 


Gateway 
или 
FPNW 


32 M6 
48 M6 


1 M6 


32 M6 


Ни в коем случае не стоит думать, что все это надо сложить. А о TOM, как обра- 
ботать эти данные и чем заменить знаки вопроса, я расскажу ниже. 


Выбор техники 


В любом информационном проспекте, посвященном Windows МТ Server, Вы 


прочтете, что для установки сервера минимально необходимы: 


> компьютер с процессором 386, 486, Pentium, Alpha AXP, MIPS R44xx или 


PowerPC; 


> 16 Мб оперативной памяти; 


> 90 Мб на жестком диске. 
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цессором. 


Однако не торопитесь хватать первую оказавшуюся в Вашем распоряжении 
мапгину, отвечающую перечисленным требованиям. Далеко не факт, что это TO, 
что Вам нужно. 


Во-первых, минимальные требования позволяют использовать компьютер как 
сервер файлов или печати только 5-10 клиентам. 


Во-вторых, настоятельто не рекомендую ставить сервер на маншииу с 380 про- 
цессором. 


В-третьих, далеко не на каждом компьютере Windows МТ будет работать произ- 
водительно и устойчиво (если вообще будет). Недаром среди специалистов 
бытует мнение, что Windows МТ — лучшая тестовая программа. Эта система 
“выловит” такие некорректно установленные параметры устройств, которых не 
заметят MS-DOS, Windows или Netware. Поэтому пормальная работа этих сис- 
тем еще не значит, что на компьютере запустится Windows МТ. 


Так как же выбирать технику? Сначала найдите список совместимого оборудо- 
вания (Hardware Compatibility List — HCL) для той версии сервера, которую Вы 
планируете установить. Он есть либо у счастливых владельцев легального про- 
дукта (так как входит в поставку), либо на ежемесячном CD-ROM издании 
Microsoft TechNet. Самый полный и точный список всегда находится на сервере 
Web Microsoft (www.microsoft.com): в нем около 3000 названий компьютеров, 
на которых работа Windows МТ гарантирована. 


Вполне возможно, что у Вас уже достаточно мощная техника и Вы не планиру- 
ете новых закупок. Если она не входит в HCL, придется принять меры к TOMY, 
чтобы все компоненты Вашего компьютера были включены в список совмести- 
мого оборудования. В нашей стране, изобилующей компьютерами сомнитель- 
ного или даже “наколенного” происхождения, такое требование может пока- 
заться чрезмерным, но никуда не денеиться — Вы рискуете не установить систе- 
му из-за отсутствия или неполной совместимости драйвера какого-нибудь уст- 
ройства. 


Какому же типу компьютера отдать предпочтение? Используйте только технику, 
“имеющую имя” (brand-name) и перечисленную в HCL, — это не дань моде и не 
“сговор с поставщиками”: производительность и надежность таких систем го- 
раздо выше, чем у “безымянных”. Кроме того, Вам всегда предоставят техничес- 
кую поддержку. 
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Существуют ли дополнительные рекомендации по выбору отдельных устройств 
компьютера, кроме обязательности их наличия в HCL? Могу посоветовать сле- 
дующее: 


Жесткий диск должен быть достаточно быстрым, желательно 5С$-диск. Это 
отнюдь не означает, что ТОЕ-диски не поддерживаются в Windows МТ. Просто 
УС$1-устройства гораздо проще в конфигурировании, у HAX выше производи- 
тельность, кроме того, они предоставляют некоторые дополнительные возмож- 
ности, повышающие надежность работы (см. главу Обеспечение отказоустой- 
чизости). 


Не экономьте на сетевой плате. Поставив какой-нибудь дешевый клон М№Е2000, 
Вы загубите производительность сервера. Такие устройства допустимы на рабо- 
чих станциях, по не на сервере. Почитайте, какие сетевые адаптеры использу- 
ются в серверах Сотраа, Dell, IBM, HP, и выберите подобный. Планируя удален- 
ную загрузку с сервера бездисковых рабочих станций, позаботьтесь о том, чтобы 
BOOT КОМ (ПЗУ загрузки) поддерживало режим работы с Microsoft Lan Ма- 
nager, а He Novell Netware. 


Проигрыватель компакт-дисков (CD-ROM) — обязательный атрибут МТ 
Server. Сама система поставляется только на компакт-дисках, практически все 
серверные приложения также записаны на CD (Microsoft BackOffice, например, 
записан на 4 дисках). Практически все современные проигрыватели поддержи- 
ваются в Windows NT, но предпочтение стоит отдать либо SCSI-, либо IDE ATAPI- 
устройствам. При установке они опознаются автоматически, тогда как ранее 
популярные CD-ROM фирм Panasonic, Sony и др. надо указывать вручную. Жела- 
тельно использовать четырех- или шестискоростные устройства. 


В случае установки NT Server выбор видеоадаптера не важен. Помните лищь, 
что раритеты вроде CGA, ЕСА и Hercules системой вообще не поддерживаются. 
Windows МТ работает с любым (или лучшим) УСА-адаптером. Даже если для 
выбранного типа не найдется драйвер, система будет работать в стандартном 
УСА-режиме 640 x 480. 


Выбор необходимого 
объема оперативной памяти 


Объем оперативной памяти — ключевой фактор, влияющий на производитель- 
ность системы. Выбирая объем, руководствуйтесь принципом “чем больше, тем 
лучше”. Дело в том, что Windows МТ хранит максимально возможное число 
открытых файлов в памяти, а за всеми остальными обращается к диску. Увели- 
чение объема памяти оказывает на производительность даже большее влияние, 
чем замена процессора. Данная таблица позволяет примерно рассчитать необ- 
ходимую величину. 
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Память 
системы 


| 
Данные каждым пользователем НИЙ Г 
пользова- Число пользователей — 
телей Умножить Б на В | Г | | 
Средний размер фойлов, исполняемых | 
на сервере ее 
Приложения Число приложений, выполняемых на | Е | | Ж 
сервере 
Умножить A на Е СЗ И 
Общий рекомендуемый объем памяти: | А+Г+Ж 


58 


Вернемся к нашему примеру и рассчитаем необходимый объем оперативной 
памяти. 


Поскольку планируется использовать одновременно Microsoft Exchange 
Server и Microsoft SQL Server, то, исходя из минимальных требований, получим 
А = 48 Мб + 52 Мб = 80 Мб. Помимо этого этот же самый компьютер будет 
работать как сервер файлов и печати. Рассчитаем средний объем файлов, от- 
крываемых каждым пользователем. 


Для Word for Windows — 310 Кб; 

для Excel — 60 Кб; 

для PowerPoint — 1000 Кб; 

для Access — 500 Кб. 

Средний объем (Б) = 685 Кб. Умножив его на число пользователей (75), полу- 
чим Г = 51,4 Мб 


Теперь рассчитаем объем пямяти, необходимый для запуска с сервера приложе- 
ний, входящих в Microsoft Office. 


Для Word for Windows — 3,66 Мб; 

для Excel — 4,6 Мб; 

для PowerPoint — 4,16 Мб; 

для Access — 2,7 Мб. 

Средний объем равен 3,78 Мб. Таким образом, для запуска 4 приложений в 
среднем необходимо 3,78 х 4 = 15,1 Мб (Ж). 

Сумма А+Г+Ж = 80 + 51,4 + 15,1 = 146,5 Мб. 


При расчете я умолчал о том, что компьютер должен также работать в качестве 
сервера доступа к Netware и эмуляции функций Netware. Это необходимо было 
бы учитывать, только если бы были добавлены еще пользователи. Но если их 
количество неизменно, требования к памяти уже учтены параметром Г, незави- 
симо от используемого ими файлового сервиса. 
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Определение объема жесткого диска 


При планировании объема жесткого диска рекомендуется использовать 3 логи- 
ческих раздела. Первый — для установки системы, второй — для приложений, 
устанавливаемых на сервере, третий — для персональных каталогов пользова- 
телей. Кроме того, советую иметь минимум 2 жестких диска. На одном из них 
должна быть установлена система Windows МТ и файлы приложений, а на дру- 
гом разместите файл подкачки. Это позволит значительно повысить произво- 
дительность системы. 


Когда к надежиости системы предъявляются повышенные требования, количе- 
ство жестких дисков и их общий объем нужно значительпо увеличить для орга- 
низации зеркализации дисков или массива дисков RAID (см. главу Обеспечение 
отказоустойчивости). 


Для расчета объема жесткого диска используется следующая таблица: 


Системный Более 250 Мб или 


диск С: 150 Мб + оперативная память + 12 Мб al 


Диск Объем, занимаемый каждым приложением 


приложе- Число приложений, выполняемых на сервере 
ний О: Умножить Б на В 


Объем, отводимый под каждого [А] 
ПОЛЬЗОВА- Число пользователей 
телей Е: Умножить A на Е ина 110% (погрешность) [x] 


Общий рекомендуемый объем диска: А+[Г+Ж 


Рассчитаем объем жесткого диска для нашего примера. 


Пространство, отводимое под систему, А = 150 Мб + 146,5 Мб + 12 Мб = 308,5 Мб 
Объем, занимаемый исполняемыми приложениями: 

Microsoft Office — 80 Мб; 

Microsoft SQL Server. Ранее в таблицу было записано 100 Мб; 

Microsoft Exchange Server — 500 Мб (с учетом персональных 

ПОЧТОВЫХ ЯЩИКОВ); 

под файл спулинга печати — 300 Мб. 
Итого: Г = 780 Мб. 
Объем, отводимый под пользователей. Ранее на каждого пользователя было вы- 
делено 40 Мб. Поэтому всего пользователям отводится Ж = 40 MO x 75 x 1,1 = 
5 300 Мб. 
Суммарный объем жесткого диска: А+Г+Ж = 308,5 + 780 + 3 300 = 4 588,5 Мб. 


Если будет применяться зеркализация дисков, объем придется удвоить. 
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Выбор файловой системы 


На сервере необходимо использовать NTFS, поскольку только эта файловая 
система обеспечивает защищенный доступ к файлам и возможность быстрого 
самовосстановлепия в случае краха системы. (Подробно о файловых системах 
см. главу Файловая система NTFS.) Однако при использовании RISC-CHCTeMbI 
необходимо оставить небольшой (примерно 2 Мб) загрузочный раздел в фор- 
мате FAT. Если Вы предъявляете к защищенности своей системы повышенные 
требования, защитите доступ к этому разделу средствами BIOS компьютера. 


Иногда полезно и саму систему установить на раздел FAT. Тогда даже при серь- 
езпом повреждении загрузочного диска, Вы сможете, загрузивитись с дискеты с 
MS-DOS, попытаться его восстановить. Однако такая установка резко спижает 
защищенность системы в целом. 


Выбор процессора 


Мы уже говорили, что Windows МТ поддерживает работу на разных типах про- 
цессоров. В каждом конкретном случае руководствуйтесь как текущей нагруз- 
кой, так и нагрузкой, которая может возникнуть в будущем. Если Вы знаете, что 
в скором времени количество пользователей существенно увеличится или воз- 
растет объем производимых вычислений, то сразу ориентируйтесь на приобре- 
тение компьютера, позволяющего установить более 1 процессора. 


Если Вы хотите запускать на сервере М5-ОО5$-приложения, предпочтение стоит 
отдать Ие!-процессорам. 


В нашем примере компьютер должен выполнять функции: 

> сервера файлов и печати; 

> контроллера домена; 

— сервера “тяжелых” приложений SQL Server и Exchange Server; 
— сервера удаленного доступа; 


> шлюза в сеть Netware и эмулировать работу сервера Netware. 


Для одного процессора это тяжеловато. Но и Microsoft SQL Server, и Exchange 
Server хорошо используют возможности масштабирования Windows МТ. Поэто- 
му смело можно заложиться на 2-3 процессора в компьютере. Так как на серве- 
ре не планируется работа с М5-РО$-приложениями, это могут быть как Pentium 
(для Windows МТ версии 4 лучше использовать Pentium Pro), так и другие (ска- 
жем, Alpha AXP) процессоры. Выбирая тактовую частоту руководствуются тем 
же принципом, что и при выборе памяти, но в нашем случае вполне хватит 
Pentium 90. 


Планирование и установка системы 3/7 


Альгернатива увеличения числа процессоров — несколько серверов, выполня- 
ющих различную функциональную нагрузку. Например, в нашем примере мож- 
но использовать 3 разных компьютера: 


один — сервер файлов, печати, главный контроллер домена, сервер удаленного 
доступа, шлюз в Netware и имитатор сервера Netware; 


другой — сервер управления базами данных и резервный контроллер домена; 


и третий — информационный сервер плюс резервный контроллер домена. 


Кстати, использование нескольких серверов позволяет сделать несколько KOHT- 
роллеров домена, что обеспечивает бесперебойную работу. 


Для нашего примера приведем две (из многих возможных) конфигурации: 


С одним 
компьютером С тремя компьютерами 
Процессор 2 х Pentium 120 Pentium 90 Pentium 90 Pentium 90 
O3Y 192 M6 96 M6 48 M6 48 M6 
Объем на ди эта 2x3 0S 400 M6 1 Гб 
жестком диске 
Функция все все, кроме СУБД СУБД, резервный Информационный 
и информ. контроллер обмен, резервный 
обмена домена контроллер 


Отметим, что наш пример — частный случай и приведенную выше табличку 
нельзя рассматривать как догму. Помните: в каждом конкретном случае конфи- 
гурация будет в большой степени зависеть от числа пользователей, выполняе- 
мых ими задач, требований по безопасности системы и... Ваших финансовых 
возможностей. Хотя, если честно, последний фактор должен оказывать мини- 
мальное влияние. 


Выбор сетевых протоколов 


В Windows МТ Server стандартно поддерживаются 3 сетевых протокола: TCP/IP, 
IPX/SPX и NetBEUIL Какому (каким) отдать предпочтение? Все зависит от усло- 
BHM работы. Для неболыптих сетей (до 20-30 компьютеров) подойдет NetBEUI, 
как самый быстрый. Правда, если в этой же сети есть серверы Netware, этот 
протокол бесполезен, и ему следует предпочесть IPX. В сетях, состоящих из 
небольших по размеру сегментов, соединенных через маршрутизатор (в роли 
которого может выступать МТ Server), эффективно применение двух протоко- 
лов: NetBEUT 4 TCP/IP. Первый обеспечит наивысшую производительность внут- 
ри сегментов, а второй — связь между сегментами. 


Если Вы выпуждены использовать протокол [PX и Вам нужен доступ в Internet, 
используйте и IPX, и TCP/IP. 
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Эта диаграмма поможет сделать правильный выбор. 


В сети есть 
серверы 
Netware? 


В сети 
меньше 20-30 
компьютеров? 


Нет 


из небольших 
сегментов? 


Да 


NetBEUI + TCP/IP 


В сети есть 
серверы 
Netware? 


Aa 


IPX + TCP/IP 


Планируется 
соединение с 
Internet? 


| Нет 


Het 


На первый взгляд, в нашем примере целесообразнее использовать только ГРХ. 
По завершении использования Netware сеть должна быть переведена на работу 
с TCP/IP. Учитывая, что уже сегодня болышая часть пользователей сможет осу- 
ществлять доступ к ресурсам Netware через шлюз, можно использовать TCP/IP 
на болыпнинстве компьютеров, а IPX оставить лишь на некоторых в качестве 
второго протокола (например, на том сервере МТ, который будет выполнять 
роль шлюза). 


Приведенная диаграмма не охватывает еще два возможных случая: использова- 
ние принтеров, подключаемых непосредственно к локальной сети, и работа с 
компьютерами Machintosh. 


Принтеры можно подключить с использованием двух протоколов: TCP/IP или 
DLC. Второй протокол также входит в поставку NT Server, и после его установки 
все подключенные принтеры становятся доступны с сервера. 


Если в Вашей сети есть компьютеры Machintosh, то чтобы использовать их как 
серверы файлов и печати Windows МТ Server, дополнительно установите прото- 
кол Apple Talk, входящий в стандартную поставку. 
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Планирование клиентских лицензий 


Каждая фирма-производитель программного обеспечения ведет свою лицензи- 
оиную палитику, те. отслеживает легальность использования ее продукции. По- 
литика фирмы Microsoft основана на том, что каждый пользователь, работая 
только с лицеизионно чистыми продуктами, не применяет никаких средств 
физического ограничепия возможностей работы с программами. Это значит, 
например, что, установив один Windows МТ Server, Вы можете физически пол- 
ключить к нему неограниченное число пользователей. Однаколегально с серве- 
ром смогут работать лить столько клиентов, сколько клиентских лицензий Вы 
приобрели. (Версии серверов Microsoft BackOffice, входящих в поставку 
Microsoft Developement Network — MSDN, имеют физическое ограничение в 5 
пользователей, TAK как предназначены исключительно для целей тестирования 
разработчиками своих программ.) | 


Лицензионная политика Microsoft весьма гибка и подходит для любого покупа- 
теля. Приобретая Windows МТ Server, Вы покупаете не сам сервер, а только ли- 
цензию на его использование. Для установки Windows NT (или любого про- 
граммного продукта Microsoft) на несколько компьютеров, хватит одной короб- 
ки с сервером, а для других компьютеров просто докупите серверные лицензии. 


Теперь разберемся с клиентами. Существует два типа клиентских лицензий: 
хранящаяся на сервере (per-server license) и хранящаяся па клиенте (per-seat 
lisense). Понятие “места хранения” условно и определяется только тем, что Вы 
установите в диспетчере лицензий (License Manager). В чем их различие? 


Если лицензии хранятся на сервере, то одновременно ресурсы этого сервера 
доступны такому количеству пользователей, которое не превышает числа Xpa- 
нящихся на этом сервере лицензий. Например, в Вашей сети 50 компьютеров, 
а Вы приобрели 40 клиентских лицензий и храните их на сервере. В этом слу- 
чае легальным считается одновременное подключение к серверу до 40 клиен- 
тов. Клиенты могут быть любыми из имеющихся у Вас. 


Хранение лицензий на сервере. 
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Если лицензии хранятся на клиентах, то ресурсами любого сервера в сети 
могут воспользоваться только клиенты, имеющие лицензию. Например, у Вас 
три Windows NT Server и 50 рабочих станций, на каждой из которых хранится 
клиентская лицензия. В таком случае можно осуществлять доступ с любого ра- 

бочего места к ресурсам любого из этих трех серверов (или даже ко всем трем 
сразу). 


Хранение лицензий на клиентах. 


Какой тип лицензии выбрать? Если у Вас только один сервер, к которому одно- 
временно осуществляет доступ лишь часть клиентов, выгоднее использовать 
лицензии, хранящиеся на сервере. В остальных случаях выгоднее приобрести 
лицензии, хранящиеся на клиентах. А если сегодня в сети только один сервер, 
HO через песколько месяцев их будет несколько? Купите лицензии типа per- 
server, а с появлением дополнительных серверов Вы поменяете статус лицен- 
зии на per-seat. Лицензионная политика позволяет однократно выполнить Ta- 
кой переход. 


Замечание: То, что Вы легальный владелец программного продукта, предостав- 
ляющего физический доступ к серверу, не значит, что Вы обладаете лицензией 
на доступ. Лицензия всегда приобретается дополнительно. Например, владелец 
Windows 95 или Windows NT Workstation обязан купить лицензию на право 
доступа к NT Server. 
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В сети один 
сервер? 


Рег-зегуег 


Выбор модели хранепия клиентских лицензии. 


Windows МТ Server — это лишь один сервер из семейства серверных продуктов 
Microsoft BackOffice, и наличие серверных и клиентских лицензий для доступа 
к его ресурсам не дает оснований полагать, что Вы имеете лицензии на доступ 
к другим серверным продуктам. Они требуют покуйки своих собственных ли- 
цензий. А как поступить, если Вы установили на компьютер NT Server + SQL 


Server? 


Ответ зависит от того, как этот сервер будет использоваться. Возможно не- 


сколько сценариев. 


Сценарий использования 


Приобретаемые лицензии 


Сервер используется как файл-сервер, и/или сервер 
печати, и/или сервер удаленного доступа ПЛЮС как 
сервер управления базами данных для пользователей 
локальной сети. 


Сервер используется только как сервер управления 
базами данных в локальной сети. 


Используется только SQL Server, выполняющий 
только роль хранилища данных для других 
серверных приложений (например, Systems 
Management Server или Internet Information Server). 


NT Server — серверная 
SQL Server — серверная 
NT Server — клиентские 
SQL Server — клиентские 


NT Server — серверная 
SQL Server — серверная 
SQL Server — клиентские 


NT Server — серверная 

SQL Server — серверная 

SQL Server — клиентские 

по числу серверных 
приложений, использующих его 


Таким образом, Вы покупаете лишь те лицензии, что реально будете исполь- 


зовать. 
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Кроме лицензий, отдельных для каждого серверного продукта, существует еще 
одна объединенная лицензия — на BackOffice, также имеющая две разновидно- 
сти — серверную и клиентскую. Это приобретение выгодно при покупке трех и 
более серверов данного семейства. Учтите, однако, что она дает Вам право уста- 
новить серверные программы на один компьютер. В результате наших расче- 
тов было предложено либо на один компьютер с двумя процессорами устано- 
вить NT Server, SOL Server и Exchange Server, либо на трех компьютерах устано- 
вить по отдельному серверу. В первом случае выгоднее приобрести 1 серверную 
лицензию на BackOffice и 75 клиентских, а во втором — придется купить 3 сер- 
верные лицеизии Ha NT Server, по одной серверной — на SQL Server и Exchange 
Server, по 75 клиентских — для NT Server и Exchange Server и 10 клиентских 
лицензий для SQL Server. Посчитав суммарную стоимость одной “наворочен- 
ной” маптины со стоимостью лицеизий, Вы увидите, что она гораздо ниже CTO- 
имости использования тех же продуктов Ha 3 компьютерах попроще. 


Процедура установки 


Если Вы вняли дружеским советам, приведенным в начале главы, и выбрали 
технику, отвечающую всем необходимым критериям, процедура установки си- 
стемы пройдет гладко и незаметно. В противном случае, придется заняться тем, 
что в кругу специалистов называется “шаманством” — битьем в бубен, танцами 
у костра и заклинаниями. 


Итак, прежде всего: 


1. Проверьге типы и параметры всех установленных систем: 5С$-адаптеров, 
сетевой платы, жестких дисков, проигрывателей компакт-дисков. Посмотри- 
те и установки, записанные в СМО5-память компьютера; в старших областях 
памяти не должно быть никаких областей, зарезервированных под систем- 
ное использование. Посмотрите, сколько процессоров реально установлено 
на главной плате. 


2. Если Вы используете устройства типа SCSI, убедитесь, что на последнем из 
них установлены терминирующие резисторы, а соответствующая функция 
активизирована на $С$З-адаптере. Проследите за тем, чтобы ID этих уст- 
ройств не совпадали. 


3. Убедитесь, что IRQ и адреса, используемые различными устройствами, не 
совпадают и не перекрываются. 


4. Если Вы хотите использовать несколько сетевых плат, сконфигурируйте их 
так, чтобы они не конфликтовали ни друг с другом, ни с прочими устрой- 
ствами. 


5. Если какие-либо устройства стандартно не поддерживаются в Windows МТ, 
приготовьте дискеты с драйверами фирм-изготовителей. 
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Выбор способа установки 


После всех подготовительных процедур можно приступить непосредственно к 
установке, которую можно выполнить разными способами в зависимости от 
конкретных обстоятельств. Можно выполнять установку, загрузив компьютер с 
дискет, можно начать ее с жесткого или с компакт-диска, а можно подключить 
компьютер к локальной сети и установить систему с сетевого диска. Какой из 
способов предпочесть, подскажет приведенная схема. Схема носит рекоменда- 
тельный характер, так как, во-первых, отражает только установку на компьюте- 
ры с процессорами Intel, а во-вторых, Вы сами можете в конкретной ситуации 
выбрать подходящий способ. 


Если выбрана команда winnt /b, сначала копируются все файлы, требуемые для 
установки системы на данном типе процессора из каталога-оригинала на жест- 
кий диск. Позаботьтесь, чтобы перед установкой на нем было минимум 100 Мб 
свободного пространства (или 200 Мб, если Вы устанавливаете систему на диск С). 


Окончив копирование, система перезагрузит компьютер и начнет исполнение 
программы Setup. 


Этот 
компьютер 
подключен к 
локальной 
сети? 


Это новый 
компьютер, 
на котором 
HeT OC? 


Ha 
компьютере 
установлен 
CD-ROM? 


Ha 
компьютере 

доступен CD- 
ROM? 
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Неграфическая часть установки 


Программа установки имеет два режима — Express или Custom. Последний 
предпочтительнее, так как позволяет контролировать ряд параметров. 


В начале установки происходит определение типов устройств, установленных в 
компьютере. Затем на экран выводится список обнаруженных 5СЗ-устройств. 
Если какое-то из установленных устройств не обнаружено или определено не- 
правильно, нажмите клавишу $ и выберите его из списка вручную. 


Если же после принудительного указания типа устройства система сообщает о 
невозможности его инициализации, прервите программу установки и проверь- 
те параметры оборудования. Вероятнее всего, это конфликт с другими устрой- 
ствами. 


Если установленного в системе устройства в списке нет, но у Вас есть его драй- 
вер, выберите в списке «О ет», вставьте дискету с нужным драйвером и устано- 
вите его. 


Кстати: Проигрыватели компакт-дисков рассматриваются как 5СЗ-устройства. 
Поэтому убедитесь, что программа установки определила Ваше устройство. 


Популярные в прошлом проигрыватели компакт-дисков типа Mitsumi, 
Panasonic и Sony, подключавшиеся через свой собственный интерфейс, 
больше не входят в список стандартно поддерживаемых устройств. Необ- 
ходимые для их работы драйверы лежат в каталоге DRVLIB на компакт- 
диске. 


ЖА) 


Следующий момент — выбор диска для установки системы. Как установить 
Windows МТ на раздел, объем которого превышает 4 Гб? Если этот раздел уже 
имеет формат NTFS (скажем, подготовлен на другом компьютере), такого воп- 
роса не возникает; если же еще нет, то во время установки он будет первона- 
чально отформатирован как FAT, а значит (в силу ограничений FAT), не сможет 
быть большим. Ничего страшного: установив систему, воспользуйтесь програм- 
мой Disk Administrator для увеличения объема тома. 


Прежде чем начать копировать файлы в указанный Вами каталог, программа 
установки выведет список некоторых общих характеристик Вашего компьюте- 
ра, таких как тип компьютера, тип клавиатуры и мыши. Не спешите машинально 
нажать Enter. Если вдруг Вы заметите, что система нашла несколько процессо- 
ров, ау Вас в машине реально установлен только один из нескольких возмож- 
ных, замените тип компьютера Ha Standard PC. 
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Еще одно предупреждение — не указывайте в данной части программы установ- 
ки русскую раскладку клавиатуры, иначе в дальнейшем Вам придется туго. 


Неграфическая часть программы установки завершится копированием файлов, 
после чего будет предложено выполнить перезагрузку системы для продолже- 
ния установки. 


Графическая часть установки 


Графическая часть программы установки интуитивно понятна и не таит под- 
водных камней, однако есть ряд моментов, на которые стоит обратить внима- 
ние. 


1. Программа предложит выбрать текущие национальные установки 
(Current Locale). Обязательно установите Russia, если Вы надеетесь ис- 
пользовать русские системные шрифты. В работающей системе установить 
новые шрифты будет не так просто. 


Программа установки Windows МТ Server 4.0 существенно отличается 
от предыдущей версии. В ней не будет предложено указать нацио- 
нальные параметры, так как их всегда можно с легкостью модифици- 
ровать в уже установленной системе. 


офф з 


2. Ha этапе выбора сетевых плат будьге особенно внимательны. Если Вы не 
укажете никакого сетевого устройства (а это может быть либо сетевая плата, 
либо сервис удаленного доступа), или укажете неверные параметры, уста- 
HOBKa Windows МТ Server не сможет быть завершена. Для Windows NT 
Workstation это не так — данная система может быть установлена даже при 
отсутствии сетевого устройства. 


Обычно тип сетевой платы и ее параметры опознаются автоматически, пос- 
ле чего будут предложены некоторые параметры конфигурации, которые 
можно либо принять, либо изменить. Изменять эти параметры имеет смысл, 
только когда программа установки сообщит о конфликтах между выбранны- 
ми значениями и конфигурацией других устройств в системе. 


ия 


Add Network é Adapter 


Ungermann-Bass Ethernet МШрс Adapter 


Network Setup needs to ki Ungermann-Bass Ethernet NIUpc/EOTP Adapter 
in your computer. If you da WaveLAN ISA Bus Adapter 

Xircom Pocket Ethernet II 

Хисом Pocket Ethernet III 

<Other> Requires disk from manufacturer 


Диалоговое окно Add Network Adapter. 


Если установленное устройство стандартно не поддерживается операцион- 
ной системой, но у Вас есть драйвер от производителя, выберите в списке 
«Other» и установите драйвер с дискеты. 
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Замечание: Если в компьютере более одной сетевой платы, то после опреде- 
ления первой нажмите кнопку Next для запуска процедуры определения 
следующей. 


3. Программа предложила Вам выбрать роль, которую будет играть сервер 
в домене: сервер (server) или контроллер домена (domain controller). Увы, 
большинство допускает здесь ошибку (может, испугавшись непривычного 
слова “домен”) и выбирает “сервер”, даже если это вообще единственный 
сервер в сети Microsoft. 


Прочитав эту книгу, Вы поймете, что только контроллер домена полно- 
ценно управляет сетью. 


Итак, если устанавливаемый сервер является первым сервером Windows 
МТ в сети, он должен быть главным контроллером домена. 


Если это не первый сервер, он может быть как резервным контроллером 
домена, так и просто сервером. Что выбрать? В большинстве случаев же- 
лательно указать контроллер домена, иначе Вы лишитесь возможности 
централизованно управлять пользователями и ресурсами сервера. 


Замечание: Если Вы установите просто сервер, а затем захотите изменить 
его роль на контроллер домена, это можно будет сделать, только полностью 
переустановив систему. 


Устанавливая резервный контроллер домена, помните: 


» компьютер должен быть подключен к локальной сети, первичный кон- 
троллер домена в которой должен быть доступен; 


> Вы должны знать имя учетной записи администратора и пароль, которые 
необходимы для включения нового компьютера в домен. 


При установке сетевых протоколов выберите только нужные Вам про- 
токолы. Далее определите их начальную конфигурацию. 


Для протокола TCP/IP предлагается возможность выбора: задать либо 
фиксированный ПТШР-адрес машины, либо автоматическое определение 
адреса механизмом DHCP. Какому способу отдать предпочтение? 
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—_  ТОРИР Configuration 


| 


САЙ П | Хисот CreditCard Еепе\+Моде 


Enable Automatic DHCP Configuration 
IP Address: 


Subnet Mask: 


Default Gateway: 


Primary WINS Server: 


Диалоговое окно TCPAP configuration. 


Для единственного сервера Windows МТ в Вашей сети надо задать фикси- 
рованный адрес, потому что DHCP сервера не существует. Этот адрес 
можно задать произвольно, если Вы знаете, что доступ в Internet не пла- 
нируется. Если же доступ в Internet является условием работы Вашей сети, 


то корректный адрес (или ряд адресов) Вы получите у компании, предо- 
ставляющей доступ в Internet. 


Если это не единственный сервер в сети, можно выбрать как фиксиро- 
ванный адрес, так и автоматически его получать от ОНСР-сервера (при 
наличии такового, естественно). Что лучше? С точки зрения сервера, это 
в принципе не имеет значения. Вот, пожалуй, единственный минус ис- 
пользования DHCP-cepsepa для назначения адреса: если в момент обнов- 
ления адреса на сервере Windows МТ DHCP сервер будет недоступен (что 


маловероятно), адрес не будет назначен, и сервер потеряет связь с сетью 
по протоколу TCP/IP. 


Если устанавлваемый сервер будет выполнять роль ОНСР-сервера, TO он 
однозначно должен иметь фиксированный адрес. Если при этом данный 
компьютер используется для связи с Internet, установите на нем DNS 
Server, взяв его либо из Windows МТ resource Kit, либо у сторонних фирм. 


2№-сервер включен в поставку Windows МТ Server 4.0. 


47 


48 Windows МТ — выбор "профи" 


Схематично алгоритм выбора конфигурации TCP/IP показан Ha следую- 
щем рисунке. 


Это 
единственный 
сервер 
в сети? 


В сети 
имеется 
ОНСР- 
сервер? 


Компьютер 
подключен к 
Internet? 


Для протокола IPX/SPX потребуется указать такой параметр, как Frame 
type и номер сети. По умолчанию устанавливается некоторый произволь- 
ный номер и автоматическое определение типа фрейма. Обычно этого 
достаточно, однако если Вы планируете работать совместно с серверами 
Netware, укажите точный номер сети и тип (типы) используемых фреймов. 


‘Advanced IPX/SPX Configuration for File and Print Services for NetWare | 
Internal Network Number (т Hex} : 
[1] Хисот CreditCard Ethernet+Modem 28.8 | 


© Auto Frame Type Detection 


®) Manual Frame Type Detection 
Frame Type Network Number 


Ethemet soe 7 


ar Ethernet 802.3 
Frame Type: | 
Network Number: [ : 


{In Hex) 


Дилоговое окно конфигураций протокола IPX/SPX. 
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4. Программа установки попытается автоматически определить тип видео- 
адаптера, предложив Вам резульгат для утверждения. Не спешите "нажи- 
мать" ОК — выберите желаемое разрешение экрана, количество цветов, ча- 
стоту развертки и щелкните кнопку Test. 


Display Settings 


Color Palette 


1024 by 768 pixels 


Refresh Frequency 


Use hardware default setting | 


Диалоговое окно Display Settings. 


Тестовое изображение пробудет на экране 5 секунд. Внимательно рас- 
смотрите его. Опыт показывает, что порой минимальные искажения тес- 
товой картинки обернутся в дальнейшем невозможностью работы. 


Если картинка просто не видна, значит, либо видеоадаптер, либо мони- 
тор не поддерживает установленный режим. 


Если нарушена частота строк, выберите другое значение частоты. 


Если некоторые буквы искажены или заменены на произвольные симво- 
лы, будьте впимательны — это свидетельствует о том, что универсальный 
видеодрайвер несовместим с используемым видеоадаптером. Попробуй- 
те либо указать иное количество цветов, либо выберите драйвер, постав- 
ляемый производителем. При отсутствии такого драйвера выберите стан- 
дартный режим УСА. В качестве примера рассмотрим компьютер DELL, в 
котором на материнской плате установлен видеоадаптер, базирующийся 
на микросхеме $3 764. Программа установки правильно определит тип 
кристалла — 53 и предложит установить для него режим 256 цветов при 
разрешении 640 х 480 точек. Однако при просмотре тестового изображе- 
ния обнаружится, что буквы произвольно изменяют свой размер. Выбрав 
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16 или 65 555 цветов, Вам удастся избежать этих искажений. Потом на 
сервере Www.s3.cOM можно найти видеодрайвер для используемого типа 
кристалла и установить его вместо стандартного. 


Установка Windows МТ на большое число 
компьютеров 


Если в Вашей организации много компьютеров, Вы наверняка не раз задавались 
вопросом, как бы побыстрее установить на них операционную систему типа 
Windows МТ, как “растиражировать” ее по всему предприятию. Если компьюте- 
ры однотипные, задача весьма проста. 


Но сначала определимся с термином “однотипные компьютеры”. К таким отно- 
сятся машины, имеющие примерно одинаковый тип материнской платы и оди- 
наковый набор дополнительных устройств. Критичным в данном случае явля- 
ются фирма-изготовитель, тип адаптера жесткого диска и тип проигрывателя 
CD-ROM. Рассмотрим несколько примеров. 


Если Вы установили систему на компьютер фирмы Compaq и использовали 
систему, записанную Ha Compaq SmartStart, не пытайтесь перенести эту систему 
на компьютер Hewlett-Packard. Если же система стоит в компьютере, имеющем 
SCSI-ANCKH, перенос на машину с ШЕ-дисками также не доставит Вам удоволь- 
ствия. Но если в оригинальном компьютере установлен видеоадаптер Cirrus 
Logic, а в компьютере, на который надо перенести систему, иной УСА-совмести- 
мый адаптер, все пройдет без сучка, без задоринки. 


Как же выполнять перенос системы? Рассмотрим идеальный случай: Вы перено- 
сите систему на точно такой же компьютер, отличающийся, может быть, только 
объемом оперативной памяти или количеством жестких дисков. 


Последовательность переноса такова. 


> Скопируйте с исходного компьютера каталог, содержащий систему, на лю- 
бой диск компьютера-приемника. Копирование можно выполнять либо по 
сети, либо временно вынув диск из второго компьютера и подключив его к 
компьютеру-оригиналу. 


> Скопируйте с диска С: файл ВООТ.ПМ на диск С: приемника. Если Вы скопи- 
ровали систему на диск, имеющий другую букву, внесите соответствующую 
правку аналогично тому, как это показано ниже. 
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[boot loader ] 

timeout=30 

default= multi(0)disk(0)rdisk(0)partition(2)\WINNT35$ 

[operating systems ] 

multi(O0)disk(0)rdisk(0)partition(2)\WINNT35S="Windows NT Server Version 3.51” 


multi(0)disk(0)rdisk(0)partition(2)\WINNT35S="Windows NT Server Version 3.51 
[VGA mode]” /basevideo /sos 


C:\="MS-DOS” 


> Ha компьютере-приемнике: если раздел, на котором будет диск C:, не являет- 
ся активным, активизируйте его с помощью стандартной программы FDISK. 


> Ha компьютере-приемпике: вставьте загрузочную дискету программы уста- 
новки Windows МТ Server, начните с нее выполнение программы установки 
и выберите опцию Repair. В качестве параметров восстановления укажите 
только BOOT files. 


Выполнив описанную последовательность действий, загрузите компьютер-при- 
емник. На нем уже будет установлена система Windows МТ. Первое, что надо 
будет сделать после загрузки системы, — изменить имя компьютера и (при на- 
личии такового) его ГР-адрес. 


Если в компьютере-приемнике установлены дополнительные устройства или 
некоторые не используются, зайдите в Control Panel и добавьге поддержку HO- 
вых и удалите ненужные. 


В любом случае подобный перенос системы займет гораздо меньше времени, 
чем ее установка. 


Кстати: Описанная выше процедура может пригодиться Вам и при замене жест- 
кого диска. Это позволит обойтись без переустановки всех приложений. 


В Windows МТ Server 4.0 программу установки можно выполнить без вме- 
шательства со стороны человека. Все, что требуется, — это создать сцена- 
рий установки, в котором заранее прописать все необходимые парамет- 
ры. Этот сценарий может использоваться как самой программой Setup, 
так и Microsoft Systems Management Server, что позволяет быстро развора- 
чивать сеть на базе Windows МТ в больших организациях. 


ГЛАВА 3 


Защита информации и 
система безопасности 
Windows МТ 


Роль кампьютерных сетей в бизнесе растет с каждым днем. Сети 
позволяют совместно работать с ключевой информацией и ресурса- 
ми большому количеству пользователей в организациях самых разных 
размеров. Часто информация, хранимая на сетевых серверах вроде 
Microsoft® Windows NT™ Server, является секретной и предназначена для 
ограниченного круга лиц. Предотвращение несанкиионированного до- 
ступа к такого рода информации — основа защищенности и 
конкурентоспособности организации. 
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Защищенная система — уровень C2 
и лучше 


Защищенная сетевая система характеризуется рядом параметров. Каждая стра- 
на вырабатывает свои критерии защиты. В США, например, базовым критерием 
защиты являются рекомендации Министерства обороны на соответствие уров- 
ню защиты С2. Поскольку большинство правительственных учреждений США 
ориентируется именно на этот уровень, можно считать, что С2 должен обеспе- 
чиваться и в других организациях, заботящихся о безопасности информации. 
Важнейшие требования уровня защиты С2 таковы: 


> 


Владелец ресурса (например, файла) должен иметь возможность контроля 
доступа к ресурсу. 


Операционная система должна защищать находящиеся в памяти компью- 
тера и принадлежащие одному процессу данные от случайного их исполь- 
зования другими процессами. Например, Windows NT Server защищает 
участок памяти, занятый процессом так, что его содержимое не может 
быть прочитано даже после того, как процесс освободил его. Кроме того, 
при удалении файла с диска пользователи не должны иметь доступа к его 
данным, даже если дисковое пространство, ранее занятое удаленным фай- 
лом, выделяется для использования новым файлом. 


Каждый пользователь должен быть уникальным образом идентифициро- 
ван в системе, а система — иметь возможность применения этой иденти- 
фикации для отслеживания всей деятельности пользователя. 


Администраторы системы должны иметь возможность аудита всех собы- 
тий, связанных с защитой системы, а также действий отдельных пользо- 
вателей. Правами доступа к данным аудита должен обладать ограничен- 
ный круг администраторов. 


Система должна защищать себя от вмешательства вроде модификаци ра- 
ботающей системы или файлов, хранящихся на диске. 


Есть и дополнительные требования, предъявляемые самой жизнью, — они 
относятся к управлению и использованию защиты. Среди них: 


> 


возможность контроля CO стороны администратора за тем, какие и кем 
используются ресурсы; 


возможность централизованного управления привилегиями и правами; 


возможность включения пользователей в группы, установки допустимого 
времени работы и т. п. 


возможность аудита таких событий, как попытка регистрации, доступа к 
файлам, принтерам и тд.; 


блокировка учетных записей при неверной регистрации; 
з 


установление срока жизни и правил использования пароля. 
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Windows МТ Server, разработанный в соответствии с требованиями уровня C2, 
предлагает ряд дополнительных средств как для управления, так и использова- 
ния этих дополнительных требований. 


Уровень защиты C2 — определение 
требований 


Требования уровня защиты С2 определены в издании Национального центра 
защиты компьютеров (NCSC) Министерства обороны США — TrustedComputer 
System Evaluation Criteria, известном как “Оранжевая книга”. Независимо от того, 
являются они отдельно стоящими или сетевыми операционными системами, в 
США они оцениваются по критериям, установленным в Оранжевой книге. 
Windows МТ Server изначально разрабатывался в соответствии с требованиями 
Оранжевой книги. 


Microsoft и NCSC тесно сотрудничали в процессе разработки, чтобы добиться 
соответствия Windows МТ Workstation и Windows NT Server правительствен- 
ным требованиям, предъявляемым к системам уровня C2. 


NCSC опубликовал также различные “интерпретации” Оранжевой книги, разъ- 
ясняющие положения этого документа применительно к различным условиям 
работы и компонентам системы. Так, издание Trusted Network, или “Красная 
книга”, — это интерпретация Оранжевой книги относительно сетевых компо- 
нентов защищенной системы. 


В Красной книге требования не изменяются; здесь просто указано, как должна 
работать сетевая система, чтобы соответствовать уровню С2 Оранжевой книги. 
Существует полный набор интерпретаций Оранжевой книги, опубликованных 
NCSC в помощь поставщикам систем. Голубая книга интерпретирует требова- 
ния Оранжевой к компонентам подсистем и тд. 


Сертификация Windows МТ 
на уровень С2 


Процесс сертификации занимает немало времени. По окончании сертифика- 
ции продукты заносятся в “Список продуктов, соответствующих уровню C2”, 
публикуемый NCSC. Фирма Microsoft впервые подписала соглашение с NCSC 
о рассмотрении Windows МТ на соответствие уровню защиты C2 в начале 
1992 года, а в середине 1995 года Windows МТ Workstation и Windows МТ 
Server были включены в этот список. К настоящему времени на соответствие 
уровню C2 для отдельных систем сертифицированы Windows NT Server и 
Windows NT Workstation версии 3.5 с установленным дополнительно сервис- 
ным пакетом номер 3 (Service Pack #3). Это значит, что организации, в ко- 
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торых соответствие системы уровню С2 является ключевым условием, могут 
рассматривать использование Windows NT Workstation и Windows МТ Server. 


В настоящее время продолжается процесс сертификации Windows NT Ha соот- 
ветствие уровню C2 по Краснсй и Голубой книгам. В Европе Windows NT 
Workstation и Windows МТ Server находятся на этапе сертификации Ha COOT- 
ветствие уровню F-C2, E3, предполагающем более высокую степень защиты в 
сравнении с С2. Сертификация позволит пользователям как США, так и Евро- 
пы работать с официально сертифицированной системой. 


Решение реальных проблем защиты 


Соответствие уровню С2 чрезвычайно важно для разработки защищенной 
операционной системы, однако большое количество “реальных” проблем 
защиты в Оранжевой книге напрямую не описано. При разработке системы 
защиты в Windows NT Server фирма Microsoft шагнула гораздо дальше тре- 
бований С2. 


Набор полноценных инструментов Windows МТ Server облегчает администрато- 
рам управление и поддержку системы защиты. Администратор, например, может 
контролировать круг пользователей, имеющих права доступа к сетевым ресур- 
сам: файлам, каталогам, серверам, принтерам и приложениям. Правами, опреде- 
ляемыми для каждого ресурса, можно управлять централизованно. 


Учетные записи пользователей также управляются централизованно. Простыми 
графическими инструментами администратор задает принадлежность к груп- 
пам, допустимое время работы, срок жизни и другие параметры учетной записи. 
У него также есть возможность аудита всех событий, связанных с защитой до- 
ступа пользователей к файлам, каталогам, принтерам и иным ресурсам. Система 
способна блокировать учетную запись пользователя при определенном числе 
неудачных попыток регистрации. Администратор устанавливает срок жизни 
паролей, может принуждать пользователей к периодической смене паролей и 
вводу паролей, которые сложно вскрыть. 


С точки зрения пользователя, Windows МТ Server обладает полноценной и не- 
сложной в обращении системой защиты. Простая процедура регистрации обес- 
печивает доступ к соответствующим ресурсам. Для пользователя невидимы та- 
кие процессы, как шифрование пароля на системном уровне, подразумевающее 
отсутствие передачи пароля в открытом виде по сети. Шифрование препятству- 
ет обнаружению пароля при несанкционированном просмотре сетевых паке- 
тов. Пользователь определяет права доступа к ресурсам, которыми он “владеет”. 
Например, он может разрешить совместное использование своего документа, 
указав, кто и как именно может с ним работать. Разумеется, доступ к ресурсам 
предприятия контролируется только администраторами с соответствующими 
правами. 
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Пример более глубокой защиты в Windows МТ Server — способность защищать 
данные, находящиеся в физической памяти компьютера. Система предоставля- 
ет доступ к таким данным только имеющим на это право программам. Если 
данные больше не содержатся на диске, Windows МТ Server предотвращает не- 
санкционированный доступ к той области диска, где они содержались, и ника- 
кая программа не “подсмотрит” информации, с которой оперирует в данный 
момент другое приложение в физической памяти машины. 


Обеспечение защиты 
в корпоративной системе 


Построение защищенной сетевой операционной системы требует тщатель- 
ного планирования. Функции защиты должны быть включены в систему 
повсеместно. Файловая система, каталог учетных записей пользователей, си- 
стема аутентификации пользователей, подсистемы, управление памятью — все 
требует серьезной проработки и четкого планирования. 


Однако стандарты защиты для некоторых условий еще не определены. При- 
мер — защищенность удаленного доступа. Дозвон, сетевая маршрутизация, 
фильтрация сетевых протоколов или сервисов, сетевая регистрация и аутенти- 
фикация, передача файлов, электронная почта, связь с Internet — вот неполный 
список областей, в которых проблемы защиты решает администратор систем. 
Применение разработок сторонних фирм нередко усугубляет эти проблемы: 
дополнительно встают вопросы совместимости, мощности и наращиваемости. 


Поддержка системы безопасности корпорации 


Основой защиты корпорации является структура безопасности: ее определе- 
ние, реализация и управление. 


Система контроля за безопасностью организации должна соответствовать 
риску, связанному с компонентами информационных технологий. Она 
должна отражать структуру бизнеса и информационные потоки. Весь персо- 
нал должен знать процедуры и правила защиты информационных ресурсов 
и поддерживать высокую степень целостности системы. 


Администраторы системы обязаны сдать экзамены по Windows МТ Server и 
Windows NT Workstation на звание Microsoft Certified Professional. Только тогда 
они смогут самостоятельно выполнять установку, обслуживание и организацию 
надежной сети. К тому же администраторы должны нести ответственность за 
конфигурирование системы, регулярное резервное копирование, ввод новых 
пользователей и создание групп, использование ресурсов. 


58 Windows МТ — выбор "профи" 


Вся информация, необходимая для грамотного администрирования, содержит- 
ся в следующих изданиях: 


> Документация Ha Microsoft Windows NT Server и Windows NT Workstation; 
> Windows NT Resource Kit, version 3.51 — пятитомное издание Microsoft Press, 


> Windows NT 3.5 Guidelines for Security, Audit, and Control (Microsoft Press). 


Модель безопасности Windows NT 


В отличие OT большинства операционных систем — вроде Windows, MS-DOS 
или OS/2 — Windows МТ сконструирована так, что средства защиты встроены 
изначально в саму систему как часть спецификаций на разработку. Прежде чем 
получить доступ к любому ресурсу, пользователь обязан зарегистрироваться 
независимо от того, где он работает — на Windows МТ Server или Windows МТ 
Workstation. Windows МТ обеспечивает защиту на локальном уровне, так как 
каждый компьютер имеет свою локальную базу политики защиты. Компоненты 
модели защиты осуществляют контроль за тем, кому и к каким объектам (на- 
пример, файлам или принтерам) предоставляется доступ, какие действия разре- 
шено производить и какие необходимо занести в журнал. 


Кстати: Хотя многие аспекты безопасности являются общими для Windows МТ 
Workstation и Windows МТ Server, здесь мы рассматриваем в основном особен- 
ности Windows МТ Server. Централизованная модель администрирования доме- 
нов Windows МТ Server предпочтительнее при создании систем клиент-сервер. 
Применение одноранговых свойств Windows NT Workstation не рекомендуется, 
так как с ростом числа компьютеров управление такой системой резко услож- 
няется. 


Подчеркнем: система безопасности — это интегральная часть Windows МТ, а не 
некоторая среда, причем действие ее распространяется на всю операционную 
систему. 


Ключевыми элементами подсистемы защиты являются: 


> Распорядитель локальной безопасности (Local Security Authority — LSA); 
» Менеджер защиты учетных записей (Security Account Manager — SAM); 


» Справочный монитор защиты (Security Reference Monitor — SRM). 


Кроме того, в Windows МТ имеются следующие элементы защиты: 


»> процесс регистрации; 


> элементы управления персональным доступом; 
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» маркеры доступа; 


> списки контроля доступа (Access Control List — ACL). 


Эти элементы составляют основу защиты в Windows МТ. Ниже рассматриваются 
компоненты подсистемы защиты, их взаимодействие и интеграция в систему. 


Распорядитель локальной безопасности 


Подсистема Распорядитель локальной безопасности (Local Security Authority — 
LSA) — сердце защиты в Windows МТ Server. В его обязанности входит: 


> предоставление пользователям доступа в систему; 
> создание маркеров доступа в процессе регистрации; 
> управление интерактивным процессом аутентификации пользователя 


> разрешение Windows МТ Server подключаться к программам аутентифи- 
кации третьих фирм; 


> управление локальной политикой защиты; 
> контроль политики аудита; 


— запись сообщений аудита, посылаемых Справочным монитором защиты, в 
журнал событий. 


Менеджер защиты учетных записей 


Менеджер защиты учетных записей (Security Account Manager — SAM) обслужи- 
вает работу с базой данных защиты учетных записей, известной как база SAM, в 
которой содержится информация обо всех учетных записях пользователей, 
групп и компьютеров. SAM обеспечивает сервис проверки пользователей, при- 
меняемый LSA. Невидимый для пользователя Менеджер защиты учетных запи- 
сей отвечает за сравнение информации, вводимой пользователем в диалоговом 
окне Welcome, с той, что хранится в базе защиты, а также за предоставление 
пользователю его идентификационного кода (SID), а также SID всех групп, чле- 
ном которых он является. 


Удаление пользователя уничтожает его SID. Удаленная учетная запись пользова- 
теля не восстанавливается, так как для него больше не существует SID. Новая 
учетная запись с тем же самым именем получит новый SID, и, следовательно, 
у него не будет привилегий, имевшихся у предыдущей учетной записи. 


В зависимости от конфигурации сети могут существовать различные базы 
SAM на одной или нескольких системах с Windows МТ. Выбор конкретной 
базы ЗАМ определяется тем, где именно пользователь регистрируется — на 
рабочей станции или в сети. Например: 
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> В сети, где пользователи имеют локальные учетные записи на каждой рабо- 
чей станции, осуществляется доступ к базе SAM, расположенной на TOM KOM- 
пьютере, где регистрируется пользователь. 


Сергей, 


Ольга, 
Никита 


База ЗАМ при использовании раздельных учетных записей на рабочих 
станциях. 


> В сети с централизованной базой учетных записей пользователей [напри- 
мер, в однодоменной сети (о доменах см. раздел Доменная структура 
сети и взаимоотношения доменов)] имеется одна база SAM, расположен- 
ная на контроллере домена. При попытке зарегистрироваться на рабочей 
станции используется база ЗАМ рабочей станции, а при попытке зареги- 
стрироваться в домене — база ЗАМ домена. 


» В сети с централизованной базой учетных записей (например, в сети с 
одним мастер-доменом) имеется центральная база SAM, расположенная на 
первичном контроллере домена. Эта база тиражируется на резервные 
контроллеры домена. При попытке зарегистрироваться на рабочей стан- 
ции используется база ЗАМ рабочей станции, а при попытке зарегистри- 
роваться в домене — база ЗАМ первичного контроллера домена или од- 
ного из резервных контроллеров. Резервные контроллеры помогают 
разгрузить первичный контроллер. Windows NT Server, сконфигуриро- 
ванный как сервер, не участвует в процессе аутентификации пользователя. 


Домен 4 Домен 2 


Контроллер Контроллер орт 
домена домена 
Резервный Резервный 
контроллер домена контроллер домена 


База SAM в сети с одним мастер-доменом. 


Защита информации и система безопасности Windows МТ 61 


Справочный монитор безопасности 


Справочный монитор безопасности (Security Reference Monitor — SRM) — ком- 
понент Windows NT, предназначенный для усиления политики авторизации 
доступа и политики аудита, проводимых подсистемой Распорядителя локаль- 
ной безопасности. Он обеспечивает защиту ресурсов или объектов от неавто- 
ризованного доступа или модификации. SRM предоставляет услуги для автори- 
зации доступа к объектам, проверки субъектов (учетных записей пользовате- 
лей) на привилегии и вывод необходимых сообщений аудита. Справочный 
монитор безопасности содержит только копию кода проверки доступа в систе- 
му, что гарантирует осуществление однотипной защиты объектов в Windows МТ 
независимо от типа объекта. 


Прямой доступ к объектам в Windows МТ не разрешен: все запросы пользовате- 
лей на доступ к объекту сначала проверяются Справочным монитором безопас- 
ности. Например, когда файл открывается на редактирование, Windows МТ 
сравнивает дескриптор защиты файла с информацией о защите, хранящейся в 
маркере пользователя, и делает вывод о возможности предоставления доступа к 
файлу. Дескриптор защиты включает в себя все входы контроля доступа (АСЕ), 
создающие список контроля доступа (ACL) к файлу. Файл, у которого отсутству- 
ет ACL, открыт любому пользователю для любого вида доступа. Справочный мо- 
нитор безопасности проверяет все ACE в ACL, определяя для конкретного поль- 
зователя возможность выполнить определенный вид доступа. Если SRM выдал 
разрешение на доступ к файлу, дополнительные проверки не ведутся. Дальней- 
шие попытки доступа к этому файлу осуществляются через созданную ссылку 
на этот файл. 


Менеджер 
объектов 


Доступ к объекту 
через Справочный 
монитор защиты ‘М. ............. 


Допустим, Катя обладает доступом типа Print к объекту LaserPrinter. Ha то, чтобы 
напечатать документ “Мое выступление”, у нее есть 5 минут. Когда Катя сделает 
запрос к LaserPrinter на печать своего документа, Справочный монитор безопас- 
ности проверит через дескриптор защиты LaserPrinter, имеет ли Катин процесс 
(печать “Мое выступление”) права на ГазегРиптег. Так как Катя этими правами 
обладает, она сможет распечатать свой документ. 
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Прошла минута, а распечатки все нет. Открыв Print Manager, Катя видит, что в 
очереди на печать перед ее документом еще 20! Текст выступления надо пред- 
ставить через 4 минуты, и она решает изменить очередность печати и передви- 
нуть свой документ на первое место. Увы, попытка обречена: ведь соответству- 
ющих привилегий у бедняжки нет. 


Справочный монитор безопасности невидим для пользователей, работает толь- 
ко с копией кода проверки доступа в систему и может защищать все объекты. 
SRM также генерирует сообщения, которые заносятся в журнал Распорядителем 
локальной безопасности. 


Процесс регистрации 


Интерактивный процесс регистрации — первая линия обороны Windows МТ 
Server от несанкционированного доступа. Процесс начинается с диалогового 
окна, приглашающего нажать комбинацию клавиш Ctrl+Alt+Del. (Перед этим 
диалоговым окном может появиться предупреждение о легальности исполь- 
зования.) Такое начало процесса регистрации надежно защищает от любых 
программ, выполняемых в фоновом режиме, целью которых является выяс- 
нение регистрационных данных пользователя. 


Welcome 


Press Ctrl+Alt+Del to log on 


После этого появляется второе диалоговое окно процесса WinLogon. 


Welcome 


авиа 
ина eae 
ЗВ А РА 
а, 


Password: 


Вводное диалоговое окно. 


Защита информации и система безопасности Windows МТ 63 


В этом окне пользователь вводит свое имя, имя сервера, рабочей станции или 
домена, в который ему необходимо получить доступ, и пароль. Если имя или 
пароль введены с ошибкой, система сообщит о невозможности авторизации 
доступа. При этом не сообщается, что именно — пароль или имя — вызвало 
ошибку. В случае правильного ввода имени, пароля и имени домена система 
переходит ко второму этапу — аутентификации пользователя. 


Система аутентифицирует пользователя, передавая заданные в вводном диало- 
говом окне параметры в Менеджер защиты учетных записей (SAM). SAM сравни- 
вает имя пользователя и пароль с хранящимися в базе пользователей домена. 
Если имя и пароль совпадают, сервер уведомляет рабочую станцию о подтвер- 
ждении доступа. Сервер загружает и такую информацию, как привилегии учет- 
ной записи пользователя, положение домашнего каталога и тп. Если для 
пользователя определен сценарий регистрации, он загружается на рабочую 
станцию для исполнения. 


Если пользователь имеет учетную запись, его пароль верен и у него есть приви- 
легии доступа в систему, подсистема защиты создает объект маркер достута, 
представляющий пользователя. Он сравним с ключом, содержащим “удостове- 
рение личности” пользователя. В нем хранится идентификатор защиты (SID), 
имя пользователя и имена групп, к которым он принадлежит. 


Маркер доступа или его копия ассоциируются с любым процессом, выполняе- 
мым пользователем (например, открытие или печать файла). Комбинация про- 
цесс/маркер называется субъектом. Субъекты оперируют над объектами Win- 
dows МТ, вызывая системные сервисы. Когда субъект осуществляет доступ к за- 
щищенному объекту, (например, файлу или каталогу), содержимое маркера 
сравнивается с содержимым списка контроля доступа к объекту (ACL), исполь- 
зуя стандартную процедуру проверки. При этом определяется, можно ли 
субъекту предоставить право на выполнение запрашиваемой операции. Эта же 
процедура может при необходимости сгенерировать сообщения аудита, отра- 
жающие результат попытки доступа. 


Созданный маркер передается процессу Win32 WinLogon. WinLogon предписы- 
вает подсистеме Win32 создать процесс для пользователя, и маркер доступа 
присоединяется к этому процессу. После этого подсистема Win32 инициирует 
Program Manager, который появляется на экране. На следующем рисунке изоб- 
ражен этот процесс. 
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Подсистема 


Процесс регистрации. 


Предупреждение о легальности использования 


Это предупреждение, появляющееся после ввода комбинации Ctrl+Alt+Del в 
первом диалоговом окне Welcome, напоминает пользователю об ответственно- 
сти, связанной с попыткой нелегального доступа в систему. Увидев его, пользо- 
ватель должен щелкнуть кнопку ОК, чтобы подтвердить свои намерения. По 
умолчанию данное сообщение не выводится. Пользователь сам определяет за- 
головок окна и текст сообщения. Например, это может быть окно “Предупреж- 
дение пользователям!” с текстом “Система имеет ограничения на доступ. Только 
сотрудники фирмы имеют право доступа. Посторонним доступ воспрещен”. 


Для ввода этого текста используется редактор реестра (подробнее см. главу Ис- 
пользование реестра) и следующий ключ: 


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT 
\CurrentVersion\Winlogon 


Чтобы изменить заголовок окна, дважды щелкните вход: 
LegalNoticeCaption: REG SZ 
Чтобы изменить текст сообщения, дважды щелкните вход: 


LegalNoticeText: REG SZ 
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В появившемся диалоговом окне редактора строк введите желаемое сообщение 
или заголовок. 


String Editor 


String: 


Предупреждение! 


Диалоговое окно String Editor. 


Регистрация в Windows МТ 4.0 


Важное дополнение внесено в процесс регистрации в Windows МТ 4.0. 
Оно связано с возможностью осуществления регистрации в домене с по- 
мощью средств удаленного доступа к сети (о средствах удаленного досту- 
па подробнее см. главу Построение глобальных сетей и работа с 
Internet). 


Допустим, Вы часто работаете дома или не вылезаете из командировок, и 
система Windows NT Workstation установлена на Вашем ноутбуке или до- 
машнем компьютере. Пока Вы работаете автономно, Вы не испытываете 
абсолютно никаких неудобств — зарегистрировавшись в системе локаль- 
но, Вы имеете абсолютно прозрачный доступ к ресурсам компьютера. 
Картина радикально меняется при доступе к удаленным ресурсам (на- 
пример, файлам на сервере в Вашей организации) с использованием RAS. 
Ведь в этом случае, с точки зрения контроллера домена, Вы оказываетесь 
“чужаком”. В базе ЗАМ отсутствует Ваша “домашняя” учетная запись, и 
несмотря на то, что, регистрируясь при удаленном доступе, Вы указали 
имя, существующее в домене, Вам придется дополнительно указывать 
пароль, обращаясь к ресурсам домена. 


Все было бы проще, имей Вы возможность, находясь вдали от родной 
конторы, зарегистрироваться в том домене, в котором Вы “живете” на 
работе. Вообще это возможно. Главным условием является хотя бы одно- 
кратная предварительная регистрация компьютера в домене. В дальней- 
шем Вы будете аутентифицированы на основе информации, хранящейся 
в кэше, правда, при этом Вам не удастся внести изменения в базу SAM. 
Хорошо, если у Вас небольшой ноутбук: принесли на работу, подключи- 
лись к локальной сети и разок зарегистрировались в домене. А если это 
домашний компьютер? Не нести же ради этого его на предприятие! Да и 
не факт, что Вас потом выпустят с ним назад. 


Вот тут на помощь и придет новая возможность — регистрация путем 
удаленного доступа к домену. С точки зрения пользователя, мало что 
изменяется. Все, что необходимо сделать при входе в систему, — указать 
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не только имя, пароль и имя домена, HO и отметить флажок Logon using 
Dial-up Networking. 


Logon Information д. 


FyodorZ 


Диалоговое окно LogOn Information. 


Вслед за этим выводится сообщенеие о запуске сервиса удаленного дос- 
тупа (Dial-up Service), а потом появляется стандартное диалоговое окно 
Dial-Up Networking. Если Вы уже пользовались удаленным доступом на 
этом компьютере, достаточно выбрать соответствующую запись в теле- 
фонной книжке (Phonebook entry) и, при необходимости, место, откуда 
Вы осуществляете дозвон. 


New Location 
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Если к Вашему компьютеру подключен модем, соединенный с телефон- 
ной линией, произойдет соединение с сервером удаленного доступа с 
последующей аутентификацией Вас в домене. 


Кстати: После регистрации в домене связь не обрывается. Вы можете про- 
должить нормальную работу и осуществлять доступ к ресурсам удален- 
ной сети. 


Настройка параметров удаленного доступа 
для регистрации 


Ффооооф ооо ооо ооо Gee O06 @ @ 


Описанный выше процесс регистрации по каналам удаленного доступа 
предлагается по умолчанию и в некотором смысле открыт для нелегаль- 
ного пользователя. На виду оказываются не только номера телефона сер- 
вера удаленного доступа, но и имя учетной записи, используемой для 
удаленного доступа. Кроме того, появляется возможность неограничен- 
но манипулировать настройками и подбирать пароль входа в удаленную 
систему. Чтобы этого не случилось, настройте соответствующим образом 
параметры удаленной регистрации. 


Для этого, вызвав программу Dial-Up Networking, щелкните кнопку 
More, затем в меню выберите команду Logon Preferences. В появившем- 
ся одноименном диалоговом окне имеется четыре раздела: Dialing, 
Callback, Appearance, Phonebook. 


Замечание: Доступ к этому диалоговому окну открыт только пользовате- 
лям, входящим в группу Administrators. 


Параметры дозвона — Dialing 


хофоо ооо ооо ооо 


К основным параметрам дозвона относятся: 


> Number of Redial Attempts (Число повторных звонков). Указы- 
вается, сколько раз можно повторить дозвон в случае неудачи (напри- 
мер, занятой линии). Для запрета повторных попыток укажите 0. 


>» Seconds between redial attempts. Интервал (в секундах) между 
первичным и повторным набором номера. Необходим для ини- 
циализации серверной стороны. 


>» Idle seconds between hanging up (Интервал бездействия). Если 
в течение этого промежутка времени CO стороны пользователя 
не было никакой активности, удаленный доступ автоматически от- 
ключается от сервера. 
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Замечание: Аналогичный параметр имеется и на серверной сторо- 
не. Если Вы указали значение, превышающее установленное на 
сервере, будет использоваться интервал, указанный на серверной 
стороне. 
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Диалоговое окно Logon Preferences — Dialing. 


араметры дозвона — Callback 


Вторая группа параметров в значительной степени влияет на защищен- 
ность удаленной системы, так как позволяет регистрироваться в домене 
только пользователям, знающим определенный номер телефона. Для 
этого администратор системы может указать на сервере удаленного дос- 
тупа на необходимость осуществления обратной связи (подробнее см. 
главу Построение глобальных сетей и работа в Internet). 


На рабочей станции можно выбрать 3 вида реакции на запрос обратной 
CBA3H: 


» No, skip call back (He использовать обратную связь). Предлага- 
ется по умолчанию. Возможности обратной связи не использу- 
ются. Сделано исключительно для удобства пользователя, но в 
значительной степени снижает защищенность. 
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> Maybe, ask me during dial when server offers (Может быть, 
спросить по мере необходимости). Интерактивный режим в 
котором пользователю предлагается ввести номер телефона, по 
которому перезвонит сервер. Большое удобство для командиро- 
ванных. Это спасает их от нежелательных расходов, связанных с 
оплатой междугороднего телефонного звонка. 


> Yes, call me back at the number(s) below (Да, перезвонить по 
телефонам, указанным ниже). Этот режим удобен для связи уда- 
ленного филиала с центральным офисом. Номера телефона (или 
телефонов) филиала меняются нечасто, что позволяет внести их в 
список, из которого сервер сможет выбрать один. 


ры 
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Диалоговое окно Logon Preferences — Callback. 


Параметры дозвона — Appearance 


Большая группа параметров, определяющих внешнее протекание про- 
цесса регистрации. 


> Preview phone numbers before dialing (Просмотр номеров 
телефонов перед набором). Чтобы сохранить номер телефона 
сервера в секрете, не отмечайте этот флажок. 
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> Show location setting before dialing (Показ местоположения пе- 


ред набором). По умолчанию система покажет название того мес- 
та, откуда Вы осуществляете дозвон. Для мобильных пользователей 
чрезвычайно удобный параметр, так как позволяет определить 
новое местоположение и тем самым — вид звонка (междугород- 
ний, международный или обычный). 


Start dial-up networking monitor before dialing (Запустить мо- 
нитор удаленного доступа перед дозвоном). По умолчанию этот 
флажок не отмечен, так как контроль за состоянием портов, коли- 
честве передаваемой информации и т.п. практически не нужен при 
регистрации в системе. 


Show connection progress while dialing (Показывать процесс 
соединения). Если отмечен этот флажок, пользователь видит про- 
текание процесса регистрации удаленным сервером. Если это не- 
желательно, флажок отмечать не стоит. 


Close оп dial (Закрыть после соединения). Диалоговое окно Dial- 
Up Networking будет закрыто сразу после успешного установле- 
ния соединения. 


Use Wizard to create new phone book entries (Использовать 
программу-мастер для внесения новых номеров в книгу). OT- 
метьте этот флажок, если на компьютере работает новичок, не 
способный самостоятельно определить параметры соединения. 
Специальная программа-мастер позволит ему сделать это быст- 
ро и безошибочно. 


Always prompt before auto-dialing (Всегда спрашивать о необ- 
ходимости восстановления соединения). После регистрации 
пользователя в системе с удаленным доступом связь с удаленным 
сервером не прерывается. Канал используется для доступа к базе 
SAM. В случае прерывания связи и возникшей необходимости 
доступа к контроллеру домена Windows МТ постарается автома- 
тически восстановить связь с удаленным сервером. Если это не- 
желательно, отметьге флажок, и система будет запрашивать разре- 
шение на восстановление связи. В противном случае восстановле- 
ние будет выполняться “без спроса”. 


Allow phone book edits during login (Разрешить редактирова- 
ние телефонной книги при регистрации). Если к компьютеру 
могут иметь доступ неавторизованные пользователи, необходи- 


защита информации и система безопасности Windows МТ 71 


мо запретить эту возможность, так как в противном случае Вы рис- 
куете остаться без доступа к домену. 


> Allow location edits during logon (Разрешить изменение пара- 
метра местоположения при регистрации). Как и в предыдущем 
случае, если к компьютеру могут иметь доступ неавторизованные 
пользователи, необходимо запретить эту возможность, посколь- 
ку в противном случае Вы рискуете остаться без доступа к домену 
или, самое лучшее, займетесь неблагодарной работой по восста- 
новлению оригинальных значений. 


Logon Preferences 
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Диалоговое окно Logon Preferences — Appearance. 


араметры дозвона — Phone book 


В последнюю группу параметров входят имена используемых телефон- 
ных книг По умолчанию предлагается системная книга, хранящаяся в 
файле \SYSTEM32\rasphone.pbk. Если необходимый номер находится в 
другой книге, ее можно найти, “нажав” кнопку Browse. 
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Logon Preferences 
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Диалоговое окно Logon Preferences — Phonebook. 


Автоматическая регистрация в системе 


Если к защищенности Вашей системы не предъявляется никаких требований 
(например, система работает в автономном режиме и расположена в хорошо 
охраняемом помещении, или это Ваш домашний компьютер, за которым 
работает Ваш ребенок), можно разрешить автоматическую регистрацию в 
системе без ввода пароля. Тогда всякий раз при перезагрузке системы вместо 
диалогового окна с приглашением нажать Ctrl+Altt+Del будет выводиться 
Program Manager и будут запускаться все программы, расположенные в груп- 
пе Start-Up. 


При этом, разумеется, регистрация выполняется с использованием указанного 
Вами имени учетной записи. Права и привилегии, которыми обладает эта учет- 
ная запись, будут действовать в течение этого сеанса. Поэтому лучше создать 
специальную учетную запись, обладающую невысокими привилегиями и толь- 
ко для автоматической регистрации. 


Чтобы переключиться на автоматическую регистрацию, лучше всего вызвать 
утилиту Auto Logon из Windows МТ Resource Kit, хотя значения некоторых клю- 
чей в Реестре можно исправить и вручную. (Как это сделать, рассказано в Win- 
dows МТ Resource Kit.) 
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Windows NT Auto Logon Setter 


Окно утилиты Auto Logon. 


Элементы управления персональным доступом 


Элементы управления персональным доступом позволяют владельцам ресурсов 
указывать, кто имеет права доступа к их ресурсам и как далеко этот доступ мо- 
жет простираться. Элементы контроля доступа, заданные в списках контроля 
доступа (ACL), определяют права доступа к ресурсам, предоставленные пользо- 
вателям и группам. Системные ресурсы включают саму систему, файлы и ката- 
логи, принтеры, ресурсы, совместно используемые в сети, и другие объекты. 


В таблице перечислены инструменты Windows МТ, контролирующие доступ к 


ресурсам. 

Инструмент Позволяет 

File Manager Предоставлять файлы и каталоги в совместное 
использование в сети. 

Print Manager Предоставлять принтеры в совместное 
использование в сети. 

User Manager for Domains Управлять учетными записями пользователей 
и членством в группах; определять политикой 
безопасности. 

Network (Control Panel) Задавать пределы предоставления ресурсов 
для совместной работы другими 
пользователями сети. 

Services (Control Panel) Запускать и останавливать сетевые сервисы. 


Рассмотрим несколько примеров, иллюстрирующих работу этих инстру- 
ментов. 
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Определение персонального доступа к файлу с 
помощью File Manager 


Допустим, пользователь fyodorz через File Manager предоставляет пользователю 
nikitaz доступ на чтение и запись к файлу Федор.4ос, а пользователю yurit — 
только на чтение. При попытке yurit что-то записать в этот файл его запрос 
будет отвергнут. Другими видами доступа к файлам и каталогам являются: NO 
Access (нет доступа), List (список), Add (добавить), Add&Read (добавить и чте- 
ние), Change (изменить), Full Control (полный доступ), Execute (исполнить), 
Delete (удалить), Change Permissions (изменить привилегии), Take Owner- 
Ship (взять во владение). Ниже на рисунке показано, как устанавливать некото- 
рые из них в File Manager. 


Special Access | Special Access 


File: D:\users\fyodorz\? eaop.doc . A File: D-:\users\fyodorz\? enop.doc 
Name: _onikitaz (Nikita Zharinov) STREET ETE Name: = purit (Yuri Tomashko) 
© Full Control (All) Se © Full Control (All) 
Other 

Н Read (R) 

Ы Write м) О write №) 

0 Execute (Х) ОЕ xecute (X) 

О Detete (D) О] Delete (D) 

С] Change Permissions (P) С) Change Permissions (P} 

С] Take Ownership (0) С) Take Ownership (0) 


Назначение специальных видов доступа в File Manager. 


Определение персонального доступа 
к принтеру с помощью Print Manager 


Администратор является владельцем принтера LaserPrinter. Он предоставляет 
пользователю Nikitaz право Print, а пользователю yurit — No Access. Если yurit 
попробует послать документ на печать, его запрос будет отвергнут. Другими 
видами доступа являются Manage Documents (управление документами) и Full 
Control (полный контроль). 
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Printer Permissions 


Printer: LaserPrinter 


Owner: Administrators 


Full Control 

Manage Documents 
Print 

Print 

Full Control 

Full Control 


No Access 


eh 


Назначение привилегий доступа к принтеру. 


Определение персонального доступа 
AAS учетной записи пользователя с помощью 
User Manager for Domains 


Будучи администратором Windows NT Server, fyodorz деактивизировал учетную 
запись yurit. Попытавшись зарегистрироваться в системе, уиги получит отказ. 


User Properties 
Username: —yurit —. OK — 
Description: [dg oo "He 


Confirm 
Password: 


(_] User Must Change Password at Next Logon 


Ш User Cannot Change Password 


С Password Never nice 


Деактивизирование учетной записи пользователя. 
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Элементы управления персональным доступом можно применить для конкрет- 
ных пользователей, нескольких пользователей, групп, ни для кого или для всех 
сразу, кто только может подключиться к сети Windows МТ. Их могут устанавли- 
вать владельцы ресурсов, пользователи, имеющие доступ к учетной записи ад- 
министратора, или любой пользователь, которому предоставлена возможность 
авторизации контроля доступа к ресурсам. 


Маркеры доступа | 


Маркеры доступа являются объектами содержащими информацию о конкрет- 
ных пользователях. Когда пользователь инициирует процесс, за этим процес- 
сом постоянно закрепляется маркер доступа. 


Во время регистрации создание и применение маркера доступа критично. Ког- 
да пользователь или процесс пользователя пытается осуществить доступ к 
объекту, хранящиеся в маркере доступа SID и список групп, к которым принад- 
лежит пользователь, сравниваются со списком контроля доступа ACL к объекту. 
Если в ACL есть разрешение на доступ пользователя или одной из групп, попыт- 
ка закончится успешно. 


Ниже в таблице перечислены самые общие объекты для маркеров доступа. 


Маркерный объект Описание 

Идентификатор Уникальным образом идентифицирует 

пользователя (SID) пользователя, для которого создан маркер. 

Идентификатор группы Идентифицирует группу(ы), к которой 
принадлежит пользователь. 

Привилегии Привилегии, назначенные пользователю. 

Владелец SID, назначаемый в качестве владельца любого 


объекта, созданного для пользователя, 
представленного данным маркером. 


Первичная группа SID, назначаемый в качестве первичной группы 
любого объекта, созданного для пользователя, 
представленного данным маркером. 
СПЕЦИФИЧНО ДЛЯ ПОДСИСТЕМЫ POSIX. 


АСГ по умолчанию ACL, назначаемый по умолчанию любому объекту, 
созданному SID пользователя. 


Списки контроля доступа 


Списки контроля доступа (Access Control Lists — ACL) — форма персональ- 
ного контроля доступа — работают совместно с файловой системой для 
защиты файлов от несанкционированного доступа. Каждый ACL состоит из 
входов контроля доступа (Access Control Entries — ACE), определяющих 
доступ к объекту. АСЕ, содержащие идентификаторы защиты и особые привиле- 
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гии доступа, вставляются в АСГ при назначении пользователем персонального 
доступа к объекту. Если владелец объекта не установил персонального доступа 
к объекту, создается ACL по умолчанию. В таблице показано, какие средства при- 
меняются для администрирования различных списков контроля доступа. 


Ресурс Источник АСЕ 

Файлы File Manager 

Принтеры Print Manager 

Пользователи User Manager (для рабочих станций) 


User Manager for Domains (для серверов) 


Когда пользователь осуществляет доступ к объекту, его персональный SID 
или SID одной из групп, к которой он принадлежит, сравнивается со спис- 
ком АСЕ, а запрашиваемая деятельность — с возможностями доступа, описан- 
ными в АСЕ. В случае совпадения пользователю предоставляется доступ. 


Например, Федор, являясь владельцем принтера LaserPrinter, предоставил 
через Print Manager Диме доступ к LaserPrinter с привилегией Print. Дима по- 
сылает документ на печать Ha ГазегРгицег. Сразу же выполняется сравнение SID 
Димы с SID, записанным в АСЕ. Так как в АСЕ содержится разрешение на печать, 
документ Димы будет напечатан. 


Объект LaserPrinter 


Предоставление 


Администраторам | АСЕЛ 
полного доступа 
Предоставление АСЕ? 
всем права печати 
Предоставление 

nikitaz права АСЕЗ 


управлять 
документами 


АСЕ сортируются по типу доступа — предоставить или запретить. В Windows NT 
сначала идет проверка ACE с отказом в доступе, а затем — с предоставлением 
доступа. Отказ всегда преобладает над предоставлением доступа. 


Если хотя бы одной из групп, к которым принадлежит пользователь, запрещен 
доступ, то независимо от того, имеет ли разрешение на доступ он или осталь- 
ные группы, в доступе будет отказано. Так что если группе Everyone (Все) зап- 
рещен доступ к объекту, значит, для всех пользователей, включая владельца ре- 
сурса, доступ к объекту запрещен. Значит, объект теперь закрыт отныне и на- 
всегда для всех и каждого?! Только без паники. Незабвенный агент 007 советовал 
никогда не говорить “никогда”: запрещение доступа не запрещает владельцу ре- 
сурса изменить вид доступа к объекту! 


ГЛАВА 4 


Администрирование учетных 
записей пользователей 


Пользователи компьютерной системы — основной фактор риска. 
Стоит их предоставить самим себе, и система неминуемо погибнет. 
Задача администратора — ‘разделять и властвовать”, позволяя вы- 
полнять рискованные операции самым опытным, а критичную ин- 
формацию показывать только тем, кто имеет на это право. В осно- 
ве управления пользователями в Windows NT Server — формирование 


локальных и глобальных групп, а также грамотная политика ведения 
учетных записей. 
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Учетные записи пользователей 


Любой пользователь Windows NT Workstation или Windows МТ Server xapak- 
теризуется наличием определенной учетной записи. Учетной записью называ- 
ется совокупность прав и дополнительных параметров, ассоциированных с 
определенным пользователем. У каждого пользователя есть свое имя и пароль. 
В домене или в рабочей группе не может быть двух пользователей с одинако- 
вым именем. В разных доменах имена могут совпадать, так как полное имя 
пользователя домена определяется по совок’пности Имя Домена\Имя Пользо- 
вателя. Скажем, если в доменах ООМ1 и DOM2 есть пользователи с именем 
ГУАМ, в сети их полные имена различны: DOMI\IVAN и DOM2\IVAN. 


При определении нового пользователя в системе формируется идентификаци- 
онный код (Security ID — SID), по которому в дальнейшем система будет его 
распознавать. Этот уникальный код используется для доступа к ресурсам систе- 
мы. Именно этот код, а не имя пользователя определяет право на доступ 
к ресурсам. Поэтому, если удалить какого-нибудь пользователя, а затем создать 
учетную запись для пользователя с таким же именем, что и у удаленного, “HOBH- 
чок” не получит доступа к ресурсам, доступным удаленному. Все дело в том, что 
идентификационный код “новичка” будет отличен от кода удаленного. 


Локальные и глобальные учетные записи 


Учетные записи пользователей Windows МТ подразделяются на локальные и 
глобальные. Локальные учетные записи определяют права пользователей на 
конкретном компьютере и не распространяются на домен. Пользователь, заре- 
гистрировавшийся в системе локально, получает доступ только к ресурсам это- 
го компьютера. Если Windows МТ Workstation принадлежит к рабочей группе, то 
локально зарегистрировавшийся пользователь с соответствующими правами 
получает доступ и к ресурсам невыделенных серверов этой рабочей группы. А 
чтобы обратиться к ресурсам домена, ему нужно каждый раз регистрироваться, 
используя свою глобальную учетную запись. Например, пользователь зарегист- 
рировался на рабочей станции МТУ/1, входящей в домен DOM], как Administra- 
tor/NIW1. Учетная запись Administrator является локальной для этой рабочей 
станции. Допустим, ему надо обратиться к файловому ресурсу RES, расположен- 
ному на сервере 5КУ1, также входящему в домен DOM1. 


Тогда попытка подключения в Диспетчере файлов или с помощью команды МЕТ 
USE * \\SRV1\RES приведет к отказу в доступе с выводом сообщения “Access deni- 
ed”. Для подключения к этому ресурсу используйте расширенный синтаксис 
команды NET: NET USE * \\SRV1\RES /USER:DOM1\USER1, где USER1 — глобаль- 
ная учетная запись пользователя в домене DOM]. Или в none Connect as Дис- 
петчера файлов для доступа к ресурсу введите: DOM1\USER1. 
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Connect Network Drive 
Drive: 
Path: 


Connect As: 


М Reconnect at Logon 


Shared Directories: Zz Expand by Default 
5 Microsoft Windows Network 


5 NetWare or Compatible Network 


Подключение к ресурсу домена, имеющего глобальную учетную запись для 
выбранного пользователя, при наличии доверительных отношений. 


Connect Network Drive 


Connect As: |DOMI\USER1 


М Reconnect at Logon 


Shared Directones: (_] Expand by Default 


sf Microsoft Windows Network 
aft NetWare or Compatible Network 


Подключение к ресурсу домена, имеющего глобальную учетную запись для 
выбранного пользователя, при отсутствии доверительных отношений. 
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Домен А 


Если пользователь осуществляет доступ к ресурсу, находящемуся в домене, с 
которым не установлены доверительные отношения и в котором нет для 
него глобальной учетной записи, то на сервере, содержащем необходимый 
ресурс, должна быть локальная учетная запись для пользователя. 


Чтобы свободно обращаться к ресурсам домена, нужно зарегистрироваться в 
домене, использовав свою глобальную учетную запись. Тогда аутентификация 
выполняется не на той рабочей станции, с которой пользователь вводит пароль 
и имя, а на главном или одном из резервных контроллеров домена. 


Ниже в таблице показано, как назначать глобальные и локальные учетные запи- 
си для обеспечения разных уровней защищенности системы. При этом счита- 
ется, что пользователь не входит в локальные или глобальные группы. 


Домен Б 


Доверительные 


Отношения 


Степень защищенности 


O 


x 


x 


Домен Б доверяет 
домену А 


Пользователь, локальная учетная запись 
которого на одном из серверов в домене А, 
имеет доступ только к ресурсам этого 
сервера. Доступ к ресурсам обоих 
доменов невозможен. 


Пользователь, имеющий в домене А 
глобальную учетную запись, лишен 
доступа к ресурсам домена Б. 


Пользователь, имеющий в домене А 
глобальную учетную запись, имеет 
локальную учетную запись на одном 
из серверов в домене Б и право 
доступа к ресурсам этого сервера. 

При этом требуется дополнительная 
регистрация пользователя на сервере. 


Пользователь, имеющий в домене А 
глобальную учетную запись и глобальную 
учетную запись в домене Б, обладает 
правом доступа к ресурсам этого домена. 
При этом требуется дополнительная 
регистрация пользователя в домене. 


Пользователь, имеющий в домене А 
глобальную учетную запись, обладает 
правом доступа к ресурсам домена Б 
при условии, что домен А является 
доверяемым домену Б. 


® — глобальная учетная запись; О — локальная учетная запись; Х — отсутствие учетной записи 
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Сквозная авторизация 


С помощью сквозной авторизации пользователь, имеющий учетную запись в 
одном домене, осуществляет доступ к ресурсам того домена, в котором у него 
учетной записи нет. Это обеспечивается доверительными отношениями между 
доменами. Сквозная авторизация происходит, когда локальный компьютер не 
может проверить пользователя, имеющего учетную запись в другом домене. В 
этом случае имя и пароль передаются на TOT Windows МТ Server, где пользова- 
тель может быть авторизован, а затем сведения о нем возвращаются на компь- 
ютер, с которого поступил запрос. 


При сквозной авторизации пользователь может иметь учетную запись только в 
одном домене и все-таки обладать правом доступа ко всей сети. Например, 
Наташа — член домена DOM]. Она пришла в офис, все компьютеры которого 
входят в домен DOM2. DOM2 доверяет домену DOM1. Далее возможен такой 
сценарий: 


1. Наташа пытается войти в систему, введя информацию о себе в диалоговом 
окне Welcome. 


2. Так как она принадлежит домену DOM1, ее авторизация должна выполняться 
в домене РОМ. 


Windows МТ Server в домене DOM2 не может авторизовать ее. 
4. Windows МТ Server передает запрос на регистрацию в домен РОМ1. 


5. Windows МТ Server в домене DOM1 регистрирует Наташу. Схематично этот 
процесс представлен на рисунке. 


Basa бюджетов <, 


} 
' с 


Кая в, 


Домен DOM2 Домен DOM1 


Сквозная авторизация. 
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Зарегистрировавшись, Наташа сразу получит доступ к ресурсам домена РОМ] и 
ресурсам, предоставленным в совместное использование в домене DOM2. 


Сквозная регистрация имеет место в двух случаях: 


1. При регистрации в доверяющем домене. 


2. При доступе к ресурсам доверяемого домена. 


Сквозная регистрация при доступе к ресурсам доверяемых доменов поддержи- 
вается всеми клиентами Microsoft Network. М5-РО5-клиенты (как LAN Manager 
2.2 MS-DOS Enhanced, так и Workgroup Connection 2.x) не поддерживают сквоз- 
ную регистрацию в доверяющем домене. 


Создание и редактирование 
учетных записей пользователей 


После установки Windows МТ Workstation в системе будут две учетные записи: 
Administrator и та, что Вы создадите в процессе работы Setup. После установки 
Windows МТ Server в системе также будут две локальных учетных записи: Admi- 
nistrator и Guest. Они называются встроенными. По умолчанию у Administrator 
очень большие возможности по управлению системой, а у Guest — предельно 
низкие. Но Guest может войти в систему без пароля. Это, несомненно, снижает 
уровень защищенности системы, поэтому лучше создайте новую учетную за- 
пись с административными правами, а учетные записи Administrator и Guest 
заблокируйте. 


Для создания локальных и глобальных учетных записей служит User Manager 
из Windows NT Workstation. Эта программа позволяет создавать только локаль- 
ные учетные записи для той рабочей станции, где она установлена. User 
Manager, находящаяся на одном из контроллеров домена, поможет создать ло- 
кальные учетные записи для используемого сервера и глобальные учетные за- 
писи для того домена, на контроллере которого запущен User Manager, и для 
любого другого домена, доверяющего этому. 


Создавая новую глобальную учетную запись или модифицируя уже имеющуюся, 
помните: если Вы запустили User Manager на одном из резервных контролле- 
ров домена, главный контроллер должен быть доступен по сети. Дело в том, что 
модификация базы учетных записей возможна только на главном контроллере 
домена; резервные контроллеры хранят лишь копии этой базы, которые нельзя 
изменить. 
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Если в домене большое количество резервных контроллеров, для обновления 
базы учетных записей на всех контроллерах потребуется какое-то время, в те- 
чение которого только что введенный пользователь, возможно, не зарегистри- 
руется в сети, так как его аутентификация будет выполняться тем контролле- 
ром, на котором база еще не обновлена. Чем меньше скорость канала между 
главным и резервным контроллерами, тем длительней этот период. 


Создавая новую учетную запись Вы можете определить такие параметры: 


> пароль; 

» правила модификации пароля пользователем; 

> локальные и глобальные группы, в которые входит пользователь; 
> профиль пользователя; 
> 


имена рабочих станций, с которых пользователь может регистрироваться в 
сети; 


Vv 


разрешенные часы работы пользователя; 


А 


срок действия учетной записи. 


Ниже подробно описано назначение и применение каждого из этих параметров. 


Пароль пользователя и правила 
его модификации 


Вход в систему Windows МТ обязательно сопровождается вводом пароля. Па- 
роль и его параметры (минимальную длину, срок жизни и др.) назначает адми- 
нистратор системы, который также может определить, каким образом пользо- 
ватель будет изменять пароль в будущем. После того как пользователь модифи- 
цирует пароль, администратор уже не сможет его узнать. 


Чтобы добавить нового пользователя, выберите в меню программы User Ma- 
nager команду Add user, a для модификации параметров уже имеющегося — 
дважды щелкните его имя в списке пользователей. После этого появится окно 
свойств пользователя. 
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New User 


Confirm 
Password: a re eo 


User Must Change Password at Next Logon 


С User Cannot Change Password 
С Password Never Expires 
С] Account Disabled 


Окно добавления нового пользователя в программе User Manager. 


В этом окне администратор может пометить следующие флажки 


Флажок Действие 


Users Must Change Password — Принуждает пользователя изменять пароль при 

at Next Logon первой регистрации в системе. Помечается по 
умолчанию при создании новых пользователей. 
Применяется администратором при создании 
новых учетных записей или назначении временных 


паролей. 
User Cannot Change Помечен по умолчанию для учетной записи Guest. 
Password Используется только для гостевых учетных 


записей, имеющих ограниченный доступ 
к ресурсам системы. 


Password Never Expires Имеет приоритет перед значением, заданным 
параметром Maximum Password Age в диало- 
говом окне, определяющем политику ведения 
учетных записей (см. раздел Глобальные парамет- 
ры, влияющие на защищенность системы), и перед 
значением Users Must Change Password at Next 
Logon. По умолчанию не помечен. Настоятельно 
не рекомендую использовать: ведь постоянная 
смена паролей — одно из условий повышенной 
защищенности системы. 


Account Disabled Приостанавливает возможность применения учет- 
ной записи. Полезно устанавливать для учетных 
записей, которым временно надо запретить доступ, 
или для пользователей, которым долго не потребуется 
доступ (например, сотрудникам, находящимся 
в отпуске или длительной командировке). 
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Создание учетных записей 
пользователей с помощью 
программы-мастера 


ооо ооо eae ооо ооо ооо ооо ооо оо ооо ооо зоо ооо GGG 8 8 


Для создания новой учетной записи с помощью User Manager for Do- 
mMaiNS следует знать о том, какие параметры прописывать обязательно, а 
какие нет. Начинающий администратор может не обладать такими зна- 
ниями или просто забыть об определении тех или иных параметров. На 
помощь ему придет новая программа-мастер в Windows МТ Server 4.0, по- 
зволяющая последовательно определять параметры учетной записи. Ко- 
личество шагов в этой программе зависит от того, какие параметры 
выбираются и какие приложения установлены. Например, если Вы отме- 
тите в разделе ограничений, что данный пользователь должен иметь ог- 
раничение по рабочим станциям, с которых он имеет право регистриро- 
ваться в домене, то на следующем шаге программа-мастер попросит Вас 
ввести имена этих рабочих станций. На рисунке изображены некоторые 
диалоговые окна этой программы. 


Add User Account Wizard 


Server Onecators 


Шаги создания новой учетной записи в программе Add User Account Wizard. 
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Инструмент настолько удобен, что даже опытный администратор с удо- 
вольствием воспользуется им — “текучка” может отвлечь его BO 
время работы с User Manager, и тогда какое-либо ограничение не 
будет установлено для какого-нибудь сотрудника, а тот не упустит сво- 
его шанса. Программа-масте., вероятность подобных упущений прак- 
тически сводит к нулю (хотя не исключает преднамеренных действий). 


e2?;2?8 268282? 6 


Группы пользователей 


Группой называется набор прав на доступ к ресурсам, присваиваемый сразу 
нескольким пользователям. С помощью групп удобно управлять доступом к 
ресурсам пользователей, выполняющих в Windows МТ сходные задачи. При- 
надлежность к группе определяется в соответствии со служебными обязанно- 
стями пользователя, специальными требованиями к доступу или другими 
критериями. 


Группы позволяют администратору рассматривать учетные записи большого 
числа пользователей как одну. При отсутствии групп сделать одинаковые изме- 
нения в учетных записях нескольких пользователей — труд неблагодарный и 
утомительный: Вам придется одну и ту же операцию выполнить столько раз, 
сколько учетных записей надо изменить. Если же эти учетные записи включены 
в группу, достаточно изменить учетную запись этой группы — и пользователи 
получат новые права. 


Опытный администратор сети планирует группы как часть процесса установки 
сети. Новая учетная запись пользователя включается в различные группы при 
создании. При этом учитывайте, какие административные функции пользова- 
тель будет выполнять в сети и какой вид доступа к ресурсам ему необходим. 


В зависимости от размера системы администратор должен решить, какие адми- 
нистративные функции можно (или нужно) делегировать другим пользовате- 
лям системы. Некоторые административные обязанности (например, резерв- 
ное копирование и восстановление файлов, добавление в систему новых учет- 
ных записей пользователей, предоставление и прекращение совместного ис- 
пользования ресурсов) требуют наличия у пользователя определенных прав. 


Для реализации многоярусной административной модели в Windows МТ при- 
меняются три типа учетных записей: 
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> Учетные записи пользователей. У каждого пользователя в системе име- 
ется своя защищенная паролем учетная запись. Учетные записи делятся 
на локальные и глобальные. 


> Локальные группы. Локальные группы определяются на каждой машине. 
В них могут входить как учетные записи пользователей, так и глобальные 
группы. В Windows МТ имеется ряд встроенных локальных групп. 


> Глобальные группы. Глобальные группы определяются на уровне домена 
(что подразумевает наличие минимум одного Windows МТ Server). В 
Windows МТ встроен ряд глобальных групп. 


Локальные группы 


На отдельно стоящих Windows МТ-системах создаются и поддерживаются 
только локальные группы. Локальная группа предоставляет права и доступ 
только для той системы, на которой она определена. 


Если система является частью домена, в локальную группу могут входить 
учетные записи пользователей того домена, где находится локальная группа, 
или учетные записи доверяемых доменов. 


Если в сети много доменов, локальные группы удобны для объединения 
нескольких глобальных групп в одно управляемое звено. Вместо присвоения 
прав каждой из глобальных групп администратор определяет права для 
одной локальной группы и включает в нее несколько глобальных. Членство 
в локальной группе домена позволяет пользователям других доменов иметь 
доступ к ресурсам этого. 


В локальную группу могут входить: 


» на уровне рабочей станции — учетные записи пользователей Windows МТ 
Workstation. Не являются частью домена; 


» на уровне домена — учетные записи пользователей домена, в котором опре- 
делена локальная группа или учетные записи пользователей доверяемых 
доменов. Это справедливо, если машина входит в домен независимо от того, 
является она Windows МТ Workstation или Windows МТ Server; 


> в любую — глобальные группы либо из того же самого домена, либо из до- 
веряемых доменов. 
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На рисунке показано, как строятся локальные группы. 


Правила локальных групп 


Локальные группы 


Компьютер 
ВХОДИТ В 
домен? 


Членами являются: 


Учетные записи домена 
Учетные записи доверяемых доменов 
Глобальные группы 

Глобальные группы доверяемых доменов 
Локальные учетные записи 


Членами являются: 


Учетные записи 
локальной машины 


Применимо к: 


Правам пользователей 
Правам доступа к файлам и 
каталогам МТЕ$ 

Правам на доступ к совместно 
используемым ресурсам 


Как видно, локальная группа может включать в себя учетные записи индивиду- 
альных пользователей и глобальные группы, но не другие локальные группы. 
Например, локальная группа, созданная в домене DOM1, может: 


> содержать учетные записи пользователей и глобальные группы этого доме- 


на и всех доверяемых доменов; 


> использоваться только на серверах домена РОМ1. 


Существует два уровня локальных групп: уровень рабочей станции и уровень 
домена. Из названия понятно, что локальные группы первого уровня функ- 
ционируют только на машинах с Windows NT Workstation, а второго — на Ma- 
шинах с Windows МТ Server. На рисунке показано функционирование локаль- 


ных групп на доменном уровне и уровне рабочих станций. 


Локальная группа Контроллер домена 


 МИпаомз NT 
 Зегуег_ 


_ Windows МТ Workstation | 


Локальная группа tits 
домена 


петь | WindowsNT — 
пас ~~ | Server 
| WindowsNT | ‚ Server — 
| Server 
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Локальные группы на рабочих станциях 


Локальные группы работают только в той базе, где были созданы. Пользователь 
локальной группы на одной машине не имеет доступа к ресурсам другой маши- 
ны. Ha Windows NT Workstation это ограничивает их этой рабочей станцией. 
Такие группы создаются с помощью User Manager. Ha Windows МТ Server вли- 
яние групп распространяется на этот сервер и на те, куда база копируется 
(Windows МТ 5егуег-серверы в домене). Эти локальные группы создаются с по- 
мощью User Manager for Domains. 


В локальные группы рабочих станций могут входить: 


» учетные записи пользователей рабочей станции; 


» учетные записи пользователей или глобальные группы домена, к которому 
принадлежит рабочая станция; 


> учетные записи пользователей или глобальные группы доменов, доверяемых 
доменом, к которому принадлежит рабочая станция. 


Локальные группы рабочей станции нельзя использовать на других рабочих 
станциях. 


Локальные группы домена 


Локальные группы домена могут использоваться только в домене и — более 
того — только в базах машин с Windows NT Server. Это значит, что пользо- 
ватели локальных групп домена могут задействовать ресурсы только серве- 
ров с Windows NT Server, входящих в этот домен, но не ресурсы Windows МТ 
Workstation или иных компьютеров. В локальную группу домена могут вхо- 
дить учетные записи пользователей локального домена или любого домена, 
доверяемого локальным. При этом доступ можно предоставить только к 
ресурсам того домена, в котором определена локальная группа. 


Встроенные локальные группы 


Как в Windows NT Workstation, так и в Windows МТ Server встроено несколь- 
ко локальных групп. В Windows NT Workstation встроены группы: 


Administrators 
Power Users 
Users 

Guests 

Everyone 

Backup Operators 
Replicator 
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Windows МТ Server включает Te же группы (кроме Power Users) плюс: 


Server Operators 
Account Operators 
Print Operators 


О различиях между этими группами и присвоенных им правах см. раздел Права 
пользователей и групи. 


Глобальные группы 


Глобальные группы — инструмент администратора домена, служащий для орга- 
низации пользователей. Единственная цель глобальных групп — собрать 
пользователей вместе, чтобы поместить их в подходящую локальную группу. 
Глобальные группы не применяются для назначения административных 
функций или предоставления пользователям доступа к ресурсам. 


Пользователям, входящим в глобальную группу, права назначаются путем 
включения глобальной группы в локальную с соответствующими правами. 
Это позволяет пользователям глобальной группы получить доступ к ресур- 
сам на Windows NT Workstation или ресурсам локального или доверяемого 
домена. 


Глобальная группа может включать учетные записи пользователей домена, но 
не другие глобальные группы. 


На рисунке показано, как, включая глобальные группы из нескольких доме- 
нов в локальные, предоставляется доступ к различным ресурсам. 


Глобальная группа в 


Локальная группа 
домене А | 


= 
if 


Локальные 
группы 
Глобальная группа в 
домене Б 


Обзор глобальных групп. 
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При создании учетная запись пользователя автоматически включается во 
встроенную группу Domain Users. Члены глобальной группы: 


> должны быть учетными записями пользователей в том домене, в котором 
создана группа; 


> могут использовать ресурсы любого домена, для которого глобальная 
группа имеет разрешение. 


Через доверительные отношения между доменами учетные записи в глобаль- 
ных группах могут получить доступ к ресурсам в любом месте сети незави- 
симо от того, где физически расположены эти ресурсы. 


Глобальные группы не могут содержать ни локальных, ни глобальных групп. 
Члены глобальной группы — только учетные записи пользователей. Внутри 
собственного домена имена глобальных групп не включают префикса в виде 
имени домена. В других доменах имена глобальных групп содержат префикс. 
Например, глобальная группа Domain Users, созданная в домене РОМ1, будет 
видна в домене DOM2 как DOM1\Domain Users. 


Внимание: Имена глобальной и локальной групп могут совпадать. 


Поскольку действие локальных групп распространяется только на те компьюте- 
ры, где тиражируется база учетных записей, глобальные группы в однодомен- 
ных сетях гарантируют равные возможности по доступу пользователей к ресур- 
сам Windows NT Workstation и Windows МТ Server при минимуме администра- 
тивных усилий. 


Глобальные группы, встроенные в Windows МТ 
Server 


В Windows NT Server встроены три глобальные группы: Domain Admins, 
Domain Users 1 Domain Guests. 


Domain Admins входит в локальную группу Administrators домена и в группу 
Administrators каждой рабочей станции Windows NT Workstation в домене. 
Чтобы предоставить новым пользователям административные полномочия, 
их включают в глобальную группу Domain Admins. 


В группу Domain Users по умолчанию входят все пользователи домена, вклю- 
чая встроенные учетные записи пользователей и вновь создаваемые учетные 
записи. 


Группа Domain Guests объединяет всех пользователей с правами гостя. По 
умолчанию в нее входит учетная запись Guest. 
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Стратегия использования групп 


Определив задачи по управлению сетью, администратор должен решить, 
какие локальные группы способны выполнять Te или иные задачи. Локальные группы, 
встроенные в Windows МТ Server, охватывают практически все возможности по 
управлению сетью. 


Если каждый домен представляет собой отдельное подразделение или отдел на 
предприятии, администратор может рассматривать глобальные группы как 
группы пользователей одного подразделения. Например, можно создать в каж- 
дом домене первого яруса глобальные группы высшего руководства каждого из 
подразделений. Тогда, чтобы предоставить высшему руководству доступа к фи- 
нансовой информации в домене Финансового отдела, в нем создается локаль- 
ная группа с соответствующими правами, включающую все глобальные группы 
высшего руководства из доменов первого яруса. 


В другом домене такая глобальная группа пользователей может получить дру- 
гие права и привилегии. Итак, глобальная группа — это средство экспорта не- 
скольких пользователей как единого целого в другие домены и рабочие стан- 
ции в сети. Если перед именем группы стоит имя домена, в котором она создана, 
администратор легко определит по имени группы ее права и по имени домена 
— место создания. 


Ниже в таблице описаны иные способы использования групп: 


Цель Группа Комментарий 


Сгруппировать пользователей Глобальная В других доменах глобальная группа может 


домена в единое звено для быть включена в локальные группы, или ей 
применения в других можно непосредственно присвоить 

доменах. определенные права. 

Пользователям нужны Локальная В локальную группу могут входить 

права и привилегии только пользователи и глобальные группы 

в одном домене. из других доменов. 

Пользователям требуются Глобальная Глобальные группы домена могут получить 
права на доступ к права на доступ к Windows МТ Workstation, 
Windows NT Workstation. а локальные группы — нет. 

Включать в себя другие Локальная В локальную группу могут входить только 
группы. глобальные группы (и пользователи). 


Однако другие локальные группы не могут 
входить ни в какую группу. 


Включать в себя Локальная Локальная группа используется только 
пользователей из других в том домене, где была создана. Чтобы 
доменов. предоставить этой группе права в других 


доменах, она должна быть создана 
в каждом из этих доменов. 
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Создание и модификация групп 


Локальные и глобальные группы создаются с помощью User Manager (для 
Windows NT Workstation) и User Manager for Domains (для Windows NT 
Server). 


Группы управляются с помощью диалоговых окон Group Properties или User 
Properties. В Group Properties Вы работаете со списком пользователей, вклю- 
ченных в ту или иную группу. А в User Properies для каждого пользователя 
определяются группы, к которым он принадлежит. 


На рисунке в окне User Manager for Domains перечислены группы этого до- 
мена. 


User Manager - MOW-DEMO-M 
View Policies Options 
Administrator Built-in account for administering thL 4 
Anonymous Default user for FTP. Gopher and 
dimaa Dmitry Artemov 
fyodorz Fyodor Zubanov 


fyodorz95 Fyodor Zubanov Work only from Windows 95 statio 


Guest Built-in account for quest access to| % 


Members can administer domain user and group accounts 
Members can fully administer the computer/domain 
Members can bypass file security to back up files 
Designated administrators of the domain 

All domain quests 

All domain users 


Administrators 
Backup Operators 
Domain Admins 
Domain Guests 
Domain Users 

E to the computer'damain 


Print Operators Members can administer domain printers 


Replicator 
server Operators 
Users 


supports file replication in а domain 
Members can administer domain servers 
Ordinary users 


Oxno User Manager for Domains. 


Создание локальной группы 


Чтобы создать локальную группу, выберите в меню User команду New Local 
Group. В появившемся диалоговом окне укажите имя группы, ее описание и 
членов группы. Кнопка Show Full Names позволяет увидеть полные имена чле- 
нов группы. 
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New Local Group 


Members: 
$} fyodorz 


Диалоговое окно New Local Group. 


Чтобы в группу добавить новых членов, "нажмите" кнопку Add — появится та- 
кое диалоговое окно: 


Add Users and Groups 


List Names From: | 68 MOW-DEMO-M* + 


4 Domain Admins Designated administrators of the domain 

$ Domain Guests All domain guests 

$ Domain Users All domain users 

» Administrator Built-in account for administering the computer? 
© Anonymous Default user for FTP, Gopher and Web server 
» dimaa (Dmitry Artemov) 

82 fyodorz [Fyodor Zubanov) 


ae 


$ fyoderz95 [Fuoder 2ubanoy| York only from windows 95 station 


Ls Guest Built-in account for quest access to the сотри 


Add Names: 
MOW-DEMO-M\dimaa; MOW-DEMO-M\nikitaz 


Диалоговое окно Add Users and Groups. 
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В этом диалоговом окне выберите имя домена, пользователи и глобальные 
группы которого могут быть включены в локальную группу, а также конкретные 
имена пользователей и групп. Здесь же выбранные имена добавляются в группу. 


Вот кнопки окна Add Users and Groups: 


Кнопка Действие 


Ааа Добавляет имена пользователей или групп, выделенных 
в списке Names, в список Add Names. 


Members Выводит диалоговое окно Global Group Membership, где 
перечисляются члены выделенной глобальной группы. 
Это позволяет выбрать конкретного пользователя 
из глобальной группы для добавления в локальную. 


Search Выводит диалоговое окно Find Account, где администратор 
может найти конкретную учетную запись пользователя или 
группы в этом или других доменах, с которыми установлены 
доверительные отношения. 


Создание глобальной группы 


Для создания новой глобальной группы служит команда New Global Group 
меню User. Работа с появившимся диалоговым окном аналогична работе с New 
Local Group за тем исключением, что можно оперировать только с учетными 
записями пользователей одного домена. Щелчок кнопки Add добавляет в спи- 
сок Members пользователя, выделенного в списке Not Members. 


New Global Group 


Group Name: ee 


Members: Not Members: 
© fyodorz Fyodor Zubanoy 


Administrator 
Anonymous 


dimaa Dmitry Artemov 


Guest 
katyal 
nikitaz Nikita Zharinov 
ntgate 


2 
$ 
$} fyodorz95 
р 
$ 
£ 
t 


Диалоговое окно New Global Group. 
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Модификация локальной группы 


Исключить некоторых членов локальной группы или добавить новых можно в 
любой момент: выделив имя нужной локальной группы, выберите в меню User 
команду Properties или дважды щелкните имя локальной группы. Появится ди- 
алоговое окно Local Group Properties, сходное с окном New Local Group. 


Local Group Properties 


Group Name: Administrators 


Description: {Members can fully administer the computer/dom 


__Show Full Names | 


Administrator 

Domain Admins 

fyodor2z (Fyodor Zubanov) 
RUS-MOSCOW Account Unknown 


Диалоговое окно Local Group Properties. 


Модификация глобальной группы 


Исключить некоторых членов глобальной группы или добавить новых можно в 
любой момент: выделив имя нужной глобальной группы, выберите в меню User 
команду Properties или дважды щелкните имя глобальной группы. Появится 
диалоговое окно Global Group Properties, сходное с окном New Global Group. 


Global Group Properties 
Group Name: Domain Admins 


Description: |Designated administrators of the domain 


Members: Not Members: 
© Administrator : # Зпопугпоце 


© fyodorz Fyodor Zubanoy dimaa Dmitry Artemov 

© ntgate > 3 fyodorz95 Fyodor Zubanoy 

» SMSUSET SMS User iin Guest 
katyal Katya Lazhintseva 
nikitaz Nikita Zharinov 
sergeya Sergey Alpatov 


Диалоговое окно Global Group Properties. 
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Создание и модификация групп с помощью 
программы-мастера Group management Wizard 


В Windows NT Server 4.0 появилась новая программа-мастер, позволяю- 
щая безошибочно создавать или модифицировать новые группы в доме- 
не или на локальном компьютере. Мало отличаясь функционально от 
User Manager или User Manager for Domains, она представляет собой 
единый инструмент, способный работать как с доменом, так и с отдельно 
взятым компьютером. Кроме того, пошаговость исполнения с возможно- 
стью возврата, заложенная в программы-мастера, гарантирует, что даже 
начинающий администратор не “натворит дел” в домене. На рисунке 
показаны некоторые диалоговые окна этой программы. 


Seat 


Guest 
IUSR_NTS40FYODO 


эооосооое ооо ооо ооо о ооо ооо ое ооо ое 


Шаги создания новой группы в Group Management Wizard. 


Специальные группы 


Специальные группы создаются операционной системой для особых целей. Эти 
группы не перечислены в списке User Manager for Domains, но могут появ- 
ляться при присвоении прав на доступ к каталогам, файлам, совместно исполь- 
зуемым каталогам и принтерам. 


Специальные группы, организуя пользователей в соответствии с тем, как они 
осуществляют доступ к различным ресурсам, не содержат пользователей в 
обычном понимании этого термина; администраторы могут не включать в них 
пользователей. Кто-то становится членом специальной группы по умолчанию, 
кто-то — в зависимости от активности в сети. В таблице перечислены все спе- 
циальные группы системы. 
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Группа Применима к 

Network Всем пользователям, подключенным к компьютеру по сети. 
Interactive Любому, кто локально использует компьютер. 

Еуегуопе Любому, кто работает на компьютере независимо от типа 


доступа. Включает группы Network и Interactive. 


Creator Owner Предоставляет права на доступ создателям подкаталогов, файлов 
и заданий для печати. 


SYSTEM Операционной системе. 


Группа Network 


В специальную группу Network входит любой пользователь, подключенный к 
сетевому ресурсу. Если, подключаясь к сетевому ресурсу, пользователь применя- 
ет свою собственную либо гостевую учетную запись, он рассматривается как 
сетевой. 


Группа Interactive 


Локально зарегистрировавшиеся пользователи автоматически включаются в 
группу Interactive. Члены этой группы осуществляют доступ к ресурсам маши- 
ны, на которой они фактически работают. 


С точки зрения предоставления прав, группы Interactive и Network различны. 
Рассмотрим пример. Работая за компьютером А, пользователь осуществляет к 
его ресурсам локальный доступ. При этом он рассматривается как член группы 
Interactive и имеет назначенные этой группе права. Если тот же пользователь 
с другого компьютера осуществит по сети доступ к тем же ресурсам на компью- 
Tepe A, он будет рассматриваться как член группы Network с другими правами. 


Группа Еуегуопе 


В группу Everyone автоматически включаются все пользователи, осуществляю- 
щие доступ к ресурсам компьютера. Сюда входят гости и пользователи из дру- 
гих доменов, а также группы Interactive и Network. Администраторы могут Ha- 
значать этой группе любые права в дополнение к предоставлению прав на до- 
ступ к файлам, каталогам, совместно используемым каталогам, принтерам и 
ключам регистра. Так как любой пользователь по умолчанию является членом 
группы Everyone, администраторы не могут добавлять новые учетные записи в 
эту группу, но могут исключать группу Everyone из списка доступа к тому или 
иному ресурсу. 
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Группа Creator Owner 


В эту группу входит учетная запись пользователя, создавшего ресурс или B3AB- 
шего его во владение. На МТЕ5-разделах права Creator Owner назначаются на 
уровне каталогов. Владелец любых каталогов или файлов внутри такого катало- 
га получит привилегии, назначенные для Creator Owner. Эта локальная группа 
может использоваться для управления правами на доступ к файлам и каталогам, 
созданным в общедоступной области раздела NTFS. 


Права и привилегии 
пользователей и групп 


Выше мы неоднократно упоминали права и привилегии, присвоенные учегным 
записям или группам. Привилегия — это предоставление пользователю возмож- 
ности выполнить определенное действие в системе. Привилегии применимы к 
системе в целом. Права — это правила, ассоциированные с определенным 
объектом (например, файлом, каталогом или принтером). Эти правила устанав- 
ливают, какие именно пользователи имеют доступ к объекту и каким образом. 


Привилегии имеют приоритет перед правами. Если какой-то пользователь не 
имеет прав на доступ к некоторому ресурсу, но его группа обладает привилеги- 
ей доступа ко всем ресурсам системы, то он может осуществить доступ к этому 


ресурсу. 


Привилегии назначаются в диалоговом окне User Rights Policy (Политика при- 
вилегий), вызываемом в User Manager for Domains командой User Rights в 
меню Policy. 


User Rights Policy 
Domain: MOW-DEMO-M 


Access this computer from network 


Grant To: 
Adrrurustratars 
Everyone 


[_] Show Advanced User Rights 


Диалоговое окно User Rights Policy. 


В этом диалоговом окне перечислены доступные привилегии, а также пользова- 
тели или группы, которым они назначены. 
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В приведенной ниже таблице перечислены привилегии, которые обычно на- 


значаются различным 


Привилегия 


группам пользователей. 


Позволяет пользователям 


Access this computer from network 
Add workstations to domain 


Back up files and directories 


Change the system time 


Force shutdown from remote system 
Load and unload device drivers 


Log on locally 


Manage auditing and security log 


Restore files and directories 


Shut down the system 


Take ownership of files and 
other objects 


Подключаться к компьютеру по сети. 
Добавлять новые рабочие станции в домен. 


Делать резервное копирование файлов 
и каталогов. Эта привилегия имеет 
приоритет перед ограничением прав 
на доступ к файлам и каталогам. 


Устанавливать время внутренних часов 
компьютера. 


Зарезервирована. 
Загружать и выгружать драйверы устройств. 


Регистрироваться в системе с клавиатуры 
компьютера. 


Определять, какие типы событий или 
доступ к каким ресурсам необходимо 
регистрировать в журнале; просматривать 
журнал событий и удалять из него записи. 


Восстанавливать файлы и каталоги. 
Имеет приоритет перед ограничением прав 
на доступ к файлам и каталогам. 


Выключать Windows МТ Server. 


Вступать во владение файлами, каталогами 
и другими объектами компьютера. 


Кроме перечисленных, есть ряд дополнительных привилегий для специальных 
случаев. Чтобы они появились в списке привилегий диалогового окна, пометьте 
флажок Show Advanced User Rights. Вот они: 


Привилегия 


Описание 


Act as a part of the operating 
system 


Bypass traverse checking 


Create a pagefile 


Create a token object 


Пользователь может работать как защищенная, 
доверяемая часть операционной системы. 
Предоставлена некоторым подсистемам. 

По умолчанию: Никому. 


Пользователь может обходить ветви дерева 
каталогов. Запрещает доступ пользователям 
РОЗХ-приложений. По умолчанию: Никому. 


Пользователь может создавать страничный 
файл. (В текущей версии Windows МТ Server 
недоступна.) По умолчанию: Никому. 


Для создания меток доступа. Право на это 
имеет только Local Security Authority. 
По умолчанию: Никому. 
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Привилегия 


Описание 


Create permanent shared objects 


Debug programs 


Generate security audits 


Increase quotas 


Increase scheduling priority 


Lock pages in memory 


Log on as a batch job 


Log on as a service 


Modify firmware environment 


variables 


Profile single process 


Profile svstem performance 


Receive unsolicited device input 


Replace a process level token 


Для создания специальных постоянных 
объектов, таких как \\Device, используемых 
в Windows МТ Server. По умолчанию: 
Никому. 


Пользователь может отлаживать различные 
низкоуровневые объекты, такие как потоки. 
По умолчанию: Administrators. 


Для создания входов в журнал регистрации 
событий защиты. По умолчанию: Никому. 


Для увеличения квот на доступ к объекту 
(не используется в текущей версии 
Windows МТ Server). По умолчанию: Никому. 


Пользователь может увеличить приоритет 
процесса. По умолчанию: Administrators, 
Power Users. 


Пользователь может запирать страницы 
в памяти с тем, чтобы их нельзя было 
сбрасывать в файл подкачки. 

По умолчанию: Никому. 


Пользователь может регистрироваться 
через пакетную очередь (в текущей версии 
Windows МТ Server не используется). 

По умолчанию: Никому. 


Пользователь может выполнять сервисы 
по защите. По умолчанию: Никому. 


Пользователь может модифицировать 
переменные системного окружения (не 
путать с пользовательским окружением). 
По умолчанию: Никому. 


Пользователю доступны возможности 
профилирования процессов в Windows МТ 
Server. По умолчанию: Administrators. 


Пользователю доступны возможности 
профилирования системы в Windows NT 
Server. По умолчанию: Administrators. 


Для чтения данных с терминального 
устройства. По умолчанию: Никому. 


Для изменения идентификатора доступа 
процесса. Используется только системой. 
По умолчанию: Никому. 
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Привилегии встроенных учетных записей 


В Windows МТ две встроенные учетные записи: Guest и Administrator. Они со- 
зданы для особых случаев и по умолчанию принадлежат к различным встроен- 
ным группам (см. раздел Группы пользователей). 


Учетная запись Guest 


Учетная запись Guest служит для однократного доступа в систему или доступа 
случайных пользователей. По умолчанию он заблокирован и является членом 
глобальной группы Domain Guests. Для этой учетной записи установлен пус- 
той пароль, а его профиль не может отличаться от устанавливаемого по умол- 
чанию. (Подробнее о профилях см. раздел Профили пользователей). Guest ис- 
пользуется как при регистрации по сети, так и локально. Администратор может 
сконфигурировать каждую рабочую станцию или домен на возможность любо- 
го из этих двух видов доступа для гостей либо запретить доступ вообще. 


Учетная запись Guest требует постоянного внимания. Во-первых, если она раз- 
решена, для нее установлен пустой пароль. Во-вторых, всякий раз при предос- 
тавении прав группе Everyone их получает и учетная запись Guest. В-третьих, 
если сделать Guest членом группы Domain Users, пользователи из недоверяе- 
мых доменов получат доступ к ресурсам Вашего домена с привилегиями и пра- 
вами учетной записи Guest. 


Чтобы разрешить гостевой вход в систему и локально, и по сети, учетную запись 
Guest нужно разрешить в User Manager for Domains. Чтобы разрешить реги- 
страцию гостей только локально, администратор отключает у учетной записи 
Guest привилегию доступа к компьютеру по сети. И наоборот: запрещая для 


Guest локальную регистрацию, администратор разрешает регистрацию по 
сети. 


Управление гостевой учетной записью Ha Windows МТ Workstation выполняется 
аналогично за тем исключением, что учетная запись Guest не заблокирована по 
умолчанию. Если “гости” нежелательны, администратор ее блокирует. 


Учетную запись Guest нельзя удалить, но можно переименовать. Если Вы пла- 
нируете регулярно пользоваться гостевой учетной записью, переименуйте ее, 
назначьте пароль и разрешайте только по необходимости. Пароль для этой 
учетной записи не должен быть простым (вроде guest или Visitor); регулярно 
изменяйте его, а права на доступ — проверяйте. 


Администрирование учетных записей пользователей 105 


Учетная запись Administrator 


Учетная запись Administrator позволяет полностью контролировать безопас- 
ность и работу системы, в частности контролировать файлы, которыми владе- 
ют другие пользователи. Любой знающий имя и пароль административной 
учетной записи имеет все возможности по администрированию системы. 


По умолчанию Administrator является членом встроенных групп Administra- 
tors, Domain Admins и Domain Users и, таким образом, обладает всеми права- 
ми и привилегиями, предоставленными этим группам. 


Административная учетная запись назначается для пользователя, управляющего 
конфигурацией домена. Администраторы, обладая большим контролем над до- 
меном и рабочими станциями в нем, чем другие пользователи, имеют доступ ко 
всем ресурсам. 


Администратор может: 


» управлять политикой защиты; 
устанавливать доверительные отношения; 


> 
» создавать, изменять или удалять учетные записи пользователей или группы; 
» изменять программное обеспечение системы; 

> 


создавать и подключаться к совместно используемым каталогам (в TOM числе 
административным); 


устанавливать принтеры и подключаться к ним; 
форматировать разделы жесткого диска; 


выполнять резервное копирование и восстановление файлов; 


брать во владение файлы и другие объекты; 


> 
> 
> 
» отлаживать систему; 
> 
» устанавливать или обновлять драйверы устройств; 
> 


разблокировать серверы, регистрироваться с серверов и выключать их. 


Учетную запись Administrator нельзя удалить, HO ее можно (и должно!) пере- 
именовать. Пароль этой учетной записи нельзя забыть: ведь единственная BO3- 
можность его восстановления — переустановка системы Windows МТ. 
Administrator нельзя исключить из групп Administrators, Domain Admins и 
Guests. 


Административная учетная запись — объект постоянного внимания: столько у 
нее прав и привилегий! Потеря ее равнозначна концу света. Используйте эту 
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учетную запись только в административных целях. Она должна быть доступна 
только для администратора. Если же какой-то иной пользователь нуждается в 
тех или иных привилегиях, включите его учетную запись в соответствующую 
группу (о привилегиях групп см. ниже). 


Например, на время отсутствия администратор Федор назначает Дмитрия для 
управления учетными записями пользователей. При создании учетной записи 
Дмитрий включается в группу Account Operators, что позволяет ему управлять 
учетными записями пользователей, не выполняя других административных 
функций. 


Привилегии встроенных локальных групп 


В Windows МТ несколько типов встроенных локальных групп, привилегии ко- 
торых рассмотрены далее. 


Привилегии группы Users 


Любой, кто регулярно работает с компьютером, должен иметь учетную запись в 
группе Users. Пользователь, зарегистрировавшийся в системе как член группы 
Users, может: 


выключать систему; 

запускать приложения; 

управлять файлами; 

создавать новые локальные группы; 

управлять локальными группами; 

иметь персональный профиль (например, цвета в системе, шрифты и т.п.); 


подключаться к компьютеру по сети; 


УУУ VV VV VY 


регистрироваться локально. 


Учетные записи локальной группы Users — это обычные пользователи компь- 
ютера или сети. Большинство учетных записей, создаваемых администратором, 
должны принадлежать к этой группе. 


Пользователи из локальной группы Users на Windows МТ Workstation могут: 


» регистрироваться на рабочей станции и использовать ее для доступа в сеть; 
» блокировать и выключать рабочую станцию; 

» иметь профиль на рабочей станции; 
> 


создавать и удалять локальные группы на рабочей станции. 
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Пользователи должны беречь свой пароль, как военную тайну: избегайте оче- 
видных паролей, нигде не записывайте и не произносите вслух! Пользователь- 
ские учетные записи должны иметь такие характеристики, как ограничение 
времени работы и способов использования учетной записи. 


Привилегии группы Power Users 


Группа Power Users предоставляет возможность выполнять административные 
функции без возможности полного контроля над системой. 


Член группы Power Users может делать все, что и член группы Users, плюс: 


> предоставлять каталоги в совместное использование в сети и отменять его; 


> устанавливать, управлять и предоставлять в совместное использование 
принтеры; 


» создавать новые, неадминистративные учетные записи пользователей; 
> модифицировать те учетные записи, что были созданы; 

» удалять учетные записи пользователей; 
> 


включать учетные записи пользователей Ha рабочей станции во встроенные 
группы Power Users, Users и Guests; 


устанавливать внутренний таймер компьютера; 


выключать систему с удаленного узла; 


> 
> 
> профилировать производительность; 
» увеличивать приоритеты; 

> 


предоставлять в совместное использование файлы и принтеры Ha рабочей 
станции. 


Группа Power Users существует только на Windows NT Workstation. Поэтому 
самый общий подход — включить учетные записи пользователей домена в 
группу Power Users на их собственных рабочих станциях. Например, админи- 
стратор может включить пользователя Dima в группу Power Users на его рабо- 
чей станции, оставив его в группе Domain Users в домене. Dima сможет предо- 
ставлять ресурсы в совместное использование и управлять системой на своей 
рабочей станции, оставаясь рядовым пользователем домена. 


Для каждой рабочей станции администратор должен решить, включать ли учет- 
ную запись пользователя домена в группу Power Users (для большего контро- 
ля) или в группу Users (для меньшего). Чтобы не предоставлять ресурсы рабо- 
чих станций в совместное использование, администратор не добавит свою 
учетную запись в группу Power Users. 
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Привилегии группы Administrators 


Группа Administrators на Windows NT Workstation предоставляет возможность 
полного контроля над системой. Пользователь рабочей станции, включенный в 
группу Administrators, может создавать, удалять и редактировать учетные запи- 
си пользователей и локальные группы, предоставлять для совместного доступа 
каталоги и принтеры, предоставлять права и привилегии пользователям, уста- 
навливать системные файлы и программы на рабочую станцию. 


Заметьте: в отличие от администраторов сетей типа Netware, администраторы 
Windows МТ автоматически не имеют прав на доступ ко всем файлам на серве- 
ре. Если доступ к какому-то файлу запрещен, администратор должен сначала 
взять этот файл во владение и только потом осуществить доступ. При этом пер- 
воначальному владельцу файл возвратить нельзя. Поэтому у администраторов 
нет средств для модификации файла, к которому у них изначально нет доступа, 
так чтобы это не стало известно владельцу файла. 


У любого файла на МТЕ5-разделе есть свой владелец, который может ограни- 
чить к нему доступ. Каждый вновь создаваемый файл принадлежит создателю. 
Так что конфиденциальная информация защищена и от администратора. 


Члены группы Administrators на Windows МТ Workstation обладают следующи- 
ми привилегиями в дополнение к имеющимся у пользователей группы Power 
Users: 


> изменять и удалять учетные записи пользователей и групп, созданных дру- 
гими; 


у 


назначать учетные записи пользователей в группы по умолчанию; 


У 


создавать, удалять и подключаться к административным ресурсам совмест- 
ного использования; 


преодолевать блокировку рабочих станций; 

создавать разделы на жестком диске и форматировать его; 
назначать права пользователям; 

контролировать аудит; 

выполнять резервное копирование и восстанавливать всю систему; 


отлаживать систему; 


УУУУУУУ 


вступать во владение файлами и другими объектами. 
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Пользователи из группы Administrators на Windows МТ Server полностью кон- 
тролируют домен. Они могут выполнять практически любые административ- 
ные функции на машинах, входящих в домен: создавать, удалять и модифициро- 
вать локальные и глобальные группы, учетные записи пользователей, предос- 
тавлять совместный доступ к каталогам и принтерам, предоставлять пользова- 
телям привилегии и права на доступ к ресурсам, устанавливать системные фай- 
лы и приложения на удаленных рабочих станциях, запирать и отпирать сервер, 
форматировать жесткие диски на сервере и создавать общие группы. 


Привилегии группы Guests 


По умолчанию учетная запись Guest позволяет любому пользователю, не име- 
ющему своей учетной записи на компьютере или в домене, осуществить доступ 
к нему как локально, так и по сети. 


Сетевое программное обеспечение часто использует Guest для доступа к KOM- 
пьютеру, поэтому в системе рекомендуется иметь эту учетную запись. Так как 
любой работающий под именем Guest имеет возможность доступа к сетевым 
ресурсам, внимательно следите за предоставлением прав доступа к ресурсам. 


У гостей компьютера меньше возможностей, чем у обычных пользователей. 
Пользователи группы Users могут иметь свой собственный профиль, запирать 
рабочую станцию, создавать, удалять и редактировать локальные группы на 
рабочих станциях, в то время как члены группы Guests — нет. 


Привилегии группы Backup Operators 


Члены данной группы могут выполнять резервное копирование файлов и их 
восстановление. Любой пользователь может выполнять резервное копирование 
и восстановление только тех файлов, право доступа к которым он имеет. Члены 
группы Backup Operators могут резервировать и восстанавливать любые фай- 
лы независимо от того, имеют они права доступа к ним или нет. Но они не могут 
прочитать файлы, к которым у них закрыт доступ. 


Привилегии группы Server Operators 


Члены группы Server Operators могут управлять серверами домена, например, 
создавать, удалять и модифицировать принтеры, предоставляемые на сервере в 
совместное использование, выполнять резервное копирование и восстановле- 
ние файлов, удалять и изменять совместно используемые каталоги, форматиро- 
вать жесткие диски на сервере, изменять системное время. Члены этой группы 
могут регистрироваться непосредственно на серверах и выключать серверы. 


110 Windows МТ — выбор "профи" 


Привилегии группы Account Operators 


Члены группы Account Operators могут через User Manager for Domains со- 
здавать, изменять и удалять большинство учетных записей пользователей и 
групп в домене. Члены Account Operators имеют возможность регистриро- 
ваться непосредственно на сервере, выключать сервер и через Server Manager 
добавлять компьютеры в домен. 


Привилегии группы Print Operators 


Члены группы Print Operators могут создавать, удалять и модифицировать 
принтеры, предоставляемые в совместное использование. Они могут регистри- 
роваться непосредственно на сервере и выключать сервер. 


В таблице обобщены привилегии локальных групп Windows МТ Workstation: 


Е 
59 » © 
в 2 а в 
ER e ВИ 
Sexe 8 y 
< pO wn MQ 

Привилегии 

Регистрироваться локально ¥ v~ ¥ ff. ¥ € 

Осуществлять доступ к компьютеру по сети уу У 

Вступать во владение файлами ¥ 

Управлять журналом аудита и защиты У 

Изменять системное время . = 

Выключать систему уу и wv 

Выключать систему с удаленного компьютера уу 

Выполнять резервное копирование файлов и каталогов У у 

Восстанавливать файлы и каталоги У У 

Встроенные возможности 

Создавать и редактировать учетные записи пользователей уу 

Создавать и редактировать локальные группы В Me 

Назначать привелегии пользователям У 

Запирать рабочую станцию y У 

Отпирать рабочую станцию У 

Форматировать жесткий диск рабочей станции У 

Создавать общие группы y 

Иметь локальный профиль уу У 

Предоставлять каталоги в совместное использование и \* 
уу 


Предоставлять принтеры в совместное использование 


Администрирование учетных записей пользователей 141 


В следующей таблице обобщены возможности и привилегии пользователей 
встроенных локальных групп Ha Windows NT Server: 


Account Operators 
Replicator 


Administrators 
Server Operators 
Print Operators 
Backup Operators 
Console Operators 
Everyone 

Users 

Guests 


Привилегии 


< 
Ss 
< 
< 


Регистрироваться локально 


< 
ь 


Осуществлять доступ к компьютеру по сети 
Вступать во владение файлами 
Управлять журналом аудита и защиты 


Изменять системное время 


< 
< 
в 
< 


Выключать систему 


~*~ yy B&B eS S 
< 


Выключать сист ему с удаленного компьютера 


Выполнять резервное копирование 
файлов и каталогов 


x % 
« “ 
~~ 
a. 


Восстанавливать файлы и каталоги 


Встроенные возможности 


Создавать и редактировать учетные 
записи пользователей 


< 


Создавать и редактировать глобальные группы 
Создавать и редактировать локальные группы 
Назначать привелегии пользователям 


о & & & % 
x 
* 


Запирать сервер 

Отпирать сервер, запертый другими 
Форматировать жесткий диск сервера У 
Создавать общие группы v 


ь yy ho. 


Иметь локальный профиль У 
Предоставлять каталоги в совместное 
использование v © 


Предоставлять принтеры в совместное 
использование м у 


Изменение привилегий пользователей 


Итак, любой пользователь в Windows МТ принадлежит к какой-либо — встроен- 
ной или созданной впоследствии — группе, чем определяются его привилегии 
и права. Но любой пользователь может быть наделен дополнительными права- 
ми и привилегиями, отсутствующими в тех группах, куда он входит. 
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Включение пользователей в группы 


Быстро изменить привилегии и права можно, включив пользователя в различ- 
ные группы. Администратор узнает, какие привилегии имеет пользователь, по- 
смотрев, какими привилегиями обладают группы, членом которых является 
пользователь. 


Управляются группы через User Manager или User Manager for Domains, где 
сначала надо выбрать имя пользователя, затем — команду Properties из меню 
User, после щелчка кнопки Groups появится окно Group Memberships. 


Group Memberships 


Member of: 


Domain Users 
Administrators 
Backup Operators 
Domain Admins 
Domain Guests 


Primary Group: Domain Users 


Диалоговое окно Group Memberships. 


В списке Member of перечислены группы, членом которых является выбран- 
ный пользователь, а в списке Not Member of — все группы системы, в которые 
его можно включить. Выделив в правом списке группу и щелкнув кнопку Add, 
учетную запись пользователя включают в выбранную группу и тем самым при- 
сваивают новые привилегии. 


В нижней части диалогового окна отмечена первичная группа (Primary 
Group), к которой принадлежит пользователь. Она используется Windows NT 
Services for Macintosh или выполняемыми РОЗХ-приложениями. В первич- 
ную группу могут входить только глобальные группы. 


Изменение определенных привилегий 
пользователя 


Хотя описанный выше способ назначения привилегий и прав пользователям — 
самый удобный и рекомендуемый, есть еще один (аналогичный назначению 
привилегий группам) — непосредственное назначение привилегий. 
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Непосредственного назначения привилегий также осуществляется через User 
Manager или User Manager for Domains, только в меню Policies надо выбрать 
команду User Rights. Из списка появившегося диалогового окна выберите при- 
вилегию, которой должен обладать пользователь, щелкните кнопку Add и выбе- 
рите нужное имя учетной записи пользователя. 


User Rights Policy 
Domain: MOW-DEMO-M 


Access this computer from network Я 


Grant То: 
Administrators 
Everyone 


CJ Show Advanced User Rights 


Oxno User Rights Policy. 


Этот метод целесообразен, например, если пользователю надо временно разре- 
шить выполнить на сервере определенную операцию. Допустим, в филиале нет 
своего технического персонала, но есть сотрудник, способный выполнять зада- 
чи по администрированию системы. В головном же подразделении принято 
решение увеличить емкость жесткого диска на сервере в филиале путем добав- 
ления новых дисков и объединения их в единый том. С этой целью сотруднику 
филиала временно назначаются соответствующие привилегии, позволяющие 
выполнять операции с диском, но запрещающие прочие административные 
функции. 


В общем случае, однако, данный метод не рекомендуется, так как при этом 
отсутствует общая картина назначенных привилегий и легко забыть о каком- 
нибудь пользователе, подвергнув тем самым безопасность системы большому 
риску. 


Профили пользователей 


Профилем пользователя называется файл с информацией о персональных на- 
стройках рабочей среды пользователя, загружаемый при регистрации. Для ад- 
министратора профили — одно из мощнейших средств управления средой 
пользователя. 


Каждый раз, когда пользователь Windows МТ Workstation регистрируется в сис- 
теме или домене, на его компьютере восстанавливаются все параметры среды в 
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том виде, в каком они были в момент окончания предыдущего сеанса работы. 
При выходе пользователя из системы все изменения в настройках, сделанные 
им в процессе работы, заносятся в файл профиля [кроме пользователей, зареги- 
стрировавшихся в системе как гость (учетная запись Сбие${). 


В профиле пользователя хранятся такие параметры, как установки Program 
Manager, File Manager, Print Manager, Control Panel, командной строки, ин- 
струментария, приложений для Windows и ссылки в системе справки. В таблице 


детализированы установки по каждому из разделов. 


Источник 


Program Manager 


File Manager 


командная строка 


Print Manager 


Control Panel 


Accessories 


Приложения для 
Windows сторонних 


фирм 


Ссылки в системе 
справки 


Сохраняемые параметры 


Определяемые пользователем установки для Program 
Manager, включая персональные группы программ 

и их свойства, программные элементы и их свойства, 
все установки, сохраняемые по командам Save 

Settings on Exit и Save Settings Now. 


Определяемые пользователем установки для File 
Manager, включая сетевые подключения и все 
сохраняемые командой Save Settings on Exit. 


Определяемые пользователем установки для 
командной строки, включая цвета, размер буфера 
экрана и его положение. 


Подключаемые сетевые принтеры и все параметры, 
сохраняемые командой Save Settings on Exit. 


Все установки разделов Color, Mouse, Desktop, Cursor, 
Keyboard, International, Sound. Из раздела System 
сохраняются только переменные окружения (User 
Environment Variables). В остальных разделах панели 
управления не содержится информация, специфичная 
для конкретного пользователя. 


Определяемые пользователем установки, влияющие 
на конфигурацию Windows МТ Server. В Accessories 
входят Calculator, Calendar, Cardfile, Clock, Notepad, 
Paintbrush и Terminal. 


Любое приложение, написанное специально для 
Windows МТ, может отслеживать информацию о 
настройках, специфичную для каждого пользователя. 
Эта информация также сохраняется в профиле 
пользователя. 


Любые закладки, размещенные в системе справки 
Windows МТ. 


В защищенной среде для разных видов работ можно создать различные профи- 
ли, назначаемые затем пользователям для выполнения соответствующих работ. 
Профили также применяются для обеспечения нескольким пользователям оди- 
наковой рабочей среды. Это может быть либо профиль, устанавливаемый по 
умолчанию, либо специфичный профиль. 
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Профили, устанавливаемые на рабочих станциях, превращают Windows МТ 
Workstation в реальную многопользовательскую систему: у любого сотрудника, 
зарегистрировавшегося на рабочей станции будет своя рабочая среда. Приме- 
нение профилей упрощает администрирование и повышает уровень защищен- 
ности. Предположим, администратор системы отдела разработчиков Дмитрий, 
создав профиль, хранящийся в совместно используемом каталоге на сервере, 
назначил его всем разработчикам. Если разработчикам понадобится новая про- 
грамма, то, чтобы каждый не выполнял ее установку, Дмитрий один раз создаст 
значок этого приложения и сохранит в общем профиле. После этого оно будет 
доступно всем разработчикам. 


Обязательные и персональные профили 


По умолчанию для каждого пользователя Windows МТ (кроме Guest) поддержи- 
вается свой профиль. Профили делятся на обязательные, персональные и про- 
фили по умолчанию. 


Если назначен обязательный профиль, изменения, внесенные пользователем в 
процессе работы, в профиле не сохранятся, и в следующий раз при его регис- 
трации в системе восстановятся параметры обязательного профиля. Так как 
обязательные профили нельзя изменять, они лучше всего подходят для госте- 
вых учетных записей. 


Если назначен персональный профиль, все изменения, внесенные пользовате- 
лем в течение сеанса работы, сохраняются в профиле и воспроизводятся при 
следующей регистрации в системе. Этот профиль можно сохранить на сервере 
в совместно используемом каталоге, что позволяет сотруднику, зарегистриро- 
вавшемуся на любой рабочей станции, иметь свою персональную среду работы. 


Профиль умалчания — стандартный профиль Windows МТ — применяется, 
если: 

» у пользователя нет персонального профиля; 

» пользователь еще ни разу не регистрировался в системе; 

> к персональному профилю нет доступа в момент регистрации; 

> 


пользователь регистрируется как гость. 


Пользователь может изменить профиль умолчания, и изменения будут отсле- 
жены системой (кроме гостевых учетных записей). Если при следующей ре- 
гистрации не будет других доступных профилей, измененный профиль 
умолчания станет персональным профилем данного пользователя. 


Когда в системе никто не зарегистрирован, появляется системный профиль 
умалчания. В это время вводное диалоговое окно предложит нажать комбина- 
цию клавиш Ctrl+Alt+Del. В системном профиле умолчания также сохраняются 
цвет фона, обои и хранители экрана. 
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Создание и редактирование профилей 


Профили создаются и редактируются с помощью утилиты User Profile Editor 
(ее значок находится в группе Administrative Tools в Windows МТ Server). Эта 
программа используется только членом локальной группы Administrators или 
глобальной группы Domain Admins. 


=> User Profile Editor - Copy of Current Profile 
File Help 


Permitted to use profile: |MOW-DEMO-M\fyodorz ee 


Program Manager Settings 


CJ Disable Run in File Menu 
[] Disable Save Settings Menu Цет and Never Save Settings 
Show Common Program Groups 


StartUp Group: 


Program Group Settings 


Unlocked Program Groups: Locked Program Groups: 


Accessories 
Administrative Tools 
Games 

Main 

Startup 


For Unlocked Groups. Allow User To: 
Make Any Change 


Allow User to Connect/Remove Connections in Print Manager 
[ Wait For Logon Script To Complete Before Starting Program Manager 


Окно User Profile Editor. 


User Profile Editor состоит из нескольких секций, назначение которых описа- 
но ниже. 


Permitted to use this profile 


В этой секции указывается определенный пользователь или локальная или гло- 
бальная группа, имеющая доступ к этому профилю. Скажем, если администра- 
тор Саша назначит этот профиль Никите, то при следующей регистрации Ни- 
ките будет предоставлен неявный доступ к этому профилю. 
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Щелчок кнопки просмотра пользователей (она расположена рядом с этим по- 
лем) раскрывает список пользователей и групп в домене вроде показанного на 
рисунке ниже. 


User Browser 


List Names From: | @ MO\W-DEMO-M* В 


Матез: 

Members can administer domain user and grou |+] 
aie Administrators Members can fully administer the computer/do ed 
abe Backup Operators Members can bypass file security to back ир На _ 
aie Console Operators File and Print Services for Net\Ware Console 0 
aye Domain Admins Designated administrators of the domain 
ae Domain Guests All domain guests 

# Domain Users All domain users 
®) Everyone All Users 
ale Guests Users granted quest access to the сотриег/ Ча $! 


Диалоговое окно просмотра списка пользователей User Browser. 
Установки Program Manager 
Данный раздел позволяет: 


> определить приложения, которые будут запущены при старте Program 
Manager, 


> запретить пользователю доступ к общим группам; 

> запретить использование команды Run в меню File; 

> запретить сохранять сделанные изменения в профиле. 

Хотя пользователю запрещено выполнять команду Кип, он сможет запускать 


приложения из других мест — File Manager, командной строки или при изме- 
нении свойств программных элементов в Program Manager. 


Установки Program Group 


Этот раздел позволяет определить, в каких программных группах пользователю 
разрешено делать изменения, а в каких нет. Администратор может указать, ка- 
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кие именно изменения применимы к группам. В таблице перечислены возмож- 
ные комбинации изменений, доступных пользователю. 


Выбрано Что может пользователь 

Маке Any Change Создавать, удалять и модифицировать 
программные элементы и группы программ. 

Create/Delete/Change Создавать, удалять и модифицировать 

Program Items программные элементы (HO не группы программ). 

Change АП Program Изменять (но не создавать или удалять) 

Items Properties программные элементы. Пользователь не может 
создавать, изменять или удалять группы программ. 

Change Program Item Изменять любые свойства программных элементов, 

Properties Except кроме командной строки. Пользователь не может 

Command Line создавать или удалять программные элементы, 


а также создавать, удалять или модифицировать 
группы программ. 


Разрешение пользователю делать подключения 
6 Print Manager 


Данная опция позволяет пользователю подключаться к сетевым принтерам 
через Print Manager. Если администратор запретит кому-либо подключения, 
все попытки такого пользователя вывести документ на сетевой принтер окажут- 
ся безуспешными. 


Необходимость ожидания завершения отработки сценария 
регистрации (Logon Script) до запуска Program Manager ` 


Данный параметр позволяет завершить отработку сценария регистрации до 
запуска Program Manager. Полезно устанавливать в TOM случае, если в процес- 
се отработки должны выполниться обязательные приложения, способные в той 
или иной степени установить права и рабочую среду пользователя. 


Сохранение профиля 


Профили сохраняются в реестре. Они распознаются по имени пользователя и 
воссоздают условия окончания последнего сеанса работы. Профили всех 
пользователей на этой рабочей станции различны. Поэтому любой из них мо- 
жет вносить в профиль изменения, которые и будут воссозданы в новом сеансе. 


Так как профили хранятся в реестре, профиль пользователя, регистрирующего- 
ся на рабочей станции, зависит от того, где он регистрировался раньше: здесь 
или на сервере. 


Если первое, используется локальный профиль этой рабочей станции. При пе- 
реходе с одной станции на другую используются локальные профили каждой из 
НИХ. 
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Серверные профили делятся на персональные (модифицируемые каждым 
пользователем) и обязательные (применяемые в системах с высокой степенью 
защищенности). Эти профили хранятся в реестре на сервере. 


Серверные профили 


Сетевые 
подключения 


Используются здесь 


Группы 
программ 


р BR 


Используются здесь 


Приложения 
AAS Windows 


Используются здесь 


Существуют три причины использования серверных профилей: 


1. Положение каждого серверного профиля указано в базе учетных записей 
домена для каждого пользователя. Независимо от того, на каком сервере 
он регистрируется, пользователь будет применять один и тот же профиль. 
Другими словами, профиль следует за пользователем. 


2. Администратор сети может создать профиль для ограничения доступа 
пользователя к рабочей станции и запрета изменений среды на рабочей 
станции. 


3. Ряду пользователей можно назначить обязательный профиль. При этом 
администратор, изменяя всего лишь один профиль, может изменять до- 
ступ ряда пользователей к приложениям. 


Профили пользователей находятся в каталогах: 


> Профиль умолчания. \<корень winnt>\SYSTEM32\CONFIG\USERDEF 


> Локальный профиль. \<корень winnt>\SYSTEM32\CONFIG\<uMa пользовате- 
ля> 


> Серверный профиль. На локальном жестком диске или в совместно исполь- 
зуемом каталоге там, где это указано в базе учетных записей. 


При выходе пользователя из системы Windows МТ определяет, был ли профиль 
обязательным или нет. Если да, то внесенные пользователем изменения игнори- 
руются, нет — изменения сохраняются в профиле текущего пользователя. 
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Это 
Нет обязательный Да 
профиль 
пользс гателя? 
Нет 210 < Аа Не учитывать текущие 
персональный 


установки вобязательном 
профиле. Сохранитьна 
локальной рабочей 
станции как локальную 
версию профиля. 


профиль? 


Сохранить текущие 
установки в 
локальном профиле Обновить персональный профиль 
пользователя. пользователя, внеся внего текущие 


установки на рабочей станции, а 
также сохранить эти установки 
локально, как локальную версию 
профиля. 


Сохранение профилей. 


Кроме автоматического сохранения в реестре, профили, созданные в User 
Profile Editor, можно сохранять в файлах, присвоив одно из расширений: USR 
— для персональных и МАМ — для обязательных профилей. В дальнейшем ад- 
министратор выбирает тот или ной файл профиля и назначает его пользовате- 
лям. Это заметно упрощает работу администратора. 


Домашние каталоги — персональные 
хранилища 


Администратор может назначить домашний каталог каждому пользователю в 
качестве места хранения персональных файлов. Такой каталог становится от- 
крываемым по умолчанию в диалоговых окнах File Open и File Save As, в ко- 
мандной строке и во всех приложениях, где нет специально определяемого 
рабочего каталога. 


Если на рабочей станции есть дисковое пространство, администратор может 
разрешить доступ пользователю к этому пространству, запретив доступ к ос- 
тальным ресурсам. Администратор может сконфигурировать рабочую станцию, 
так чтобы домашний каталог на ней был единственным, для которого у пользо- 
вателя будут назначены права доступа, отличные от № Ассез$. 
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При запуске командной строки в ней откроется домашний каталог. Также в 
любом приложении, для которого нельзя специально установить рабочий ката- 
лог, домашний каталог будет рабочим. Если домашний каталог находится не 
на локальной рабочей станции, а где-то в сети, то автоматически будет ус- 
танавливаться необходимое сетевое соединение всякий раз при регистра- 
ции пользователя. 


Определяя домашний каталог, можно указать либо на какой-нибудь общий ката- 
лог, Либо на особый для каждого пользователя. При этом можно применять уни- 
версальные соглашения об именах (UNC), скажем, в виде \\SERVER\USERS\DIMA. 
Чтобы создать каталог для каждого пользователя, администратору придется 
попотеть, зато он получит больший контроль, да и для пользователей это гораз- 
до удобнее. 


По умолчанию домашний каталог пользователя — \USERS\DEFAULT — находит- 
ся на том диске, где установлена операционная система. Его можно изменить на 
другой локальный или совместно используемый каталог на сервере. Если 
пользователь принадлежит домену, установите домашний каталог на сервере. 
Если рассматривается локальная учетная запись рабочей станции, домашний 
каталог рекомендуется создавать на рабочей станции. 


Домашние каталоги автоматически генерируются двумя способами: 


1. User Manager for Domains автоматически создаст домашний каталог, если 
при создании учетной записи в домене указать совместно используемый 
сетевой каталог. Если создать каталог нельзя, появится сообщение о необхо- 
димости создания такого каталога вручную. Если при администрировании 
доменной учетной записи как домашний указан локальный каталог, он не 
будет создан автоматически. 


2. User Manager for Domains пытается создать указанный домашний каталог, 
если администрируется локальная база учетных записей на рабочей стан- 
ции. Если каталог создать невозможно, появится сообщение о необходимо- 
сти создать его вручную. В Windows NT Workstation можно администрири- 
ровать с помощью User Manager for Domains, выбрав команду Select 
Domain и указав имя рабочей станции вместо имени домена. 


Если домашний каталог находится в разделе NTFS, установите соответствующие 
права на доступ к этому каталогу. При автоматическом создании домашнего 
каталога User Manager for Domains предоставит права полного доступа (Full 
Control) к нему только пользователю, для которого он создан. Если один и тот 
же каталог назначен как домашний одновременно двум и большему числу 
пользователей, полный доступ к нему получит группа Everyone. Если каталог 
уже существует, User Manager for Domains не изменяет права на доступ к 
нему. В таком случае права на доступ назначаются с помощью File Manager. 
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User Environment Profile 


User: fyodorz (Fyodor Zubanoy) 


User Profiles 


User Profile Path: | 


Home Directory 


O comect Ге [SS 


Диалоговое окно User Environment Profile. 


Сценарий регистрации и домашний каталог назначаются пользователю в диа- 
логовом окне User Environment Profile в User Manager. При обращении к 
домашнему каталогу в Windows МТ используются следующие подменяемые ве- 
личины: 


> %HOMEPATH% — имя пути к домашнему каталогу пользователя; 


> %HOMEDRIVE% — имя локального диска, к которому подключается домаш- 
ний каталог, расположенный в сети; 


> %НОМЕЗНАКЕ% — универсальное наименование (UMC) совместно использу- 
емого в сети каталога, в котором находится домашний каталог. 


Сразу нескольким пользователям домашний каталог назначается так же, как 
одному: выделив в User Manager нужных пользователей, выберите в меню 
Users команду Properties. Щелкнув кнопку Profile, укажите в диалоговом окне 
в поле Home Directory соответствующий каталог, где вместо конкретного име- 
ни пользователя введите % USERNAME%, 


Сценарии регистрации (Logon Scripts) 


Сценариями регистрации являются командные файлы, назначенные пользова- 
телям. Сценарием регистрации может быть текстовый файл с расширением 
CMD или .ВАГ или исполняемый файл с расширением .ЕХЕ. Эти файлы испол- 
няются при регистрации пользователя. Сценарий регистрации может включать 
в себя подключение к сетевым устройствам, конфигурирование среды пользо- 
вателя или запуск того или иного приложения. Заметьте: сценарии регистрации 
выполняются после регистрации пользователя в системе. 
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С помощью сценариев администратор устанавливает единый механизм регис- 
трации в сети. Сценарии могут быть персонифицированными или одинаковы- 
ми для ряда пользователей и обычно применяются при сетевых подключениях 
и запуске служебных программ. 


Сценарии регистрации не столь универсальны, как профили. Профиль позволя- 
ет выполнять все, что и сценарий, плюс дополнительные функции. Но есть ряд 
причин, по которым применять сценарии регистрации необходимо. Их ис- 
пользуют: 


> вместо профилей на рабочих станциях, работающих в MS-DOS; 
> для управления только частью профиля пользователя; 


— для выполнения сетевых подключений, общих для ряда пользователей. 


Кроме того, сценарии: 


— проще создавать и редактировать; 


> могут тиражироваться на любой сервер, т.е. они будут автоматически доступ- 
ны на любом сервере. 


Сценарии регистрации назначаются пользователем в диалоговом окне User 
Environment Profile и хранятся на его компьютере в каталоге, устанавливае- 
MOM по умолчанию. Для системы Windows NT это: 


C:\WINNTSS\SYSTEM32\REPL\IMPORT\SCRIPTS 


Если Windows NT Server является частью сети, сценарии регистрации могут 
располагаться в каталогах, содержимое которых тиражируется на другие 
серверы (см. раздел Тиражирование каталогов). По умолчанию сценарий 
записывается в каталог: 


C:\WINNTS5\SYSTEM32\REPL\EXPORT\SCRIPTS 


Чтобы повысить защищенность, храните сценарии регистрации Ha разделах 
NTFS, а доступ к ним ограничьте через File Manager. 


Чтобы сценарии регистрации работали на всех серверах в домене, администра- 
тор должен позаботиться о TOM, чтобы сервис Replicator был запущен на всех 
серверах домена и тиражирование выполнялось между указанными каталогами. 


Ограничение времени работы пользователей 


Чтобы установить больший контроль над пользователями, администратор мо- 
жет ограничить время их работы с сетевыми ресурсами. Например, разрешить 
работу в сети только по будням с 9 до 18 часов. 
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Часы работы устанвливаются в диалоговом окне Users Properties. Щелчок 
кнопки Hours выведет на экран диалоговое окно Logon Hours. 
Logon Hours 


User: fyodorz95 (Fyodor Zubanoy) 


gi 


Midnight БАМ 6PM Midnight 


PPigpe ea ei eel ei 


e ee et ame | a é a i ВЕ i Е 
<a See 


i 3 i Е : : ая } } t 3 | ; Н | ВЕ } 
Se a cee eee eee See cee cons eer eed Ueno ee Doe Se ce : 
ee as aaa: : ; ong a 


а sw ар 


i ; } 


ет 


Диалоговое окно Logon Hours. 


По умолчанию регистрация разрешена 24 часа в сутки 7 дней в неделю. Чтобы 


запретить работу на определенное время, выделите его и щелкните кнопку 
Disallow. 


Ограничение времени регистрации влияет лишь на доступ пользователя в сеть, 
но не на возможность работы на рабочей станции. 


Поведение системы по истечении разрешенного времени зависит от глобаль- 
ных параметров, описываемых в диалоговом окне Account Policies (см. раздел 
Глобальные параметры, влияющие на защищенность системы). 


Ограничение числа рабочих станций, 
с которых возможна регистрация 


Администратор может ограничить число рабочих станций, с которых пользо- 
ватель регистрируется в системе. По умолчанию пользователю разрешено реги- 
стрироваться с любой рабочей станции. Для ввода ограничений щелкните 
кнопку Logon To в диалоговом окне Users Properties. 
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Logon Workstations 


User: fyodorz (Fyodor Zubanoy) 


Диалоговое окно Logon Workstations. 


В появившемся диалоговом окне перечислите имена разрешенных рабочих 
станций. 


Вводить ограничения имеет смысл, если конкретный пользователь должен 
иметь доступ к особо конфиденциальной информации. В этом случае стоит 
разрешить доступ к ней только с тех станций, на которых приняты повышен- 
ные меры безопасности. Это могут быть станции без гибких дисков, с защищен- 
ным от вскрытия корпусом и т.п. 


Использование Редактора системной 
политики в Windows МТ Server 4.0 


Как уже говорилось, профили пользователей, определяемые через User 
Profile Editor, действительны только для тех, кто работает Ha компьюте- 
pax с установленной Windows МТ. Для всех остальных операционных 
систем приходится применять сценарии регистрации. Но в операцион- 
ной системе Windows 95 существует понятие профиля пользователя, 
аналогичное используемому в Windows МТ. Вот почему в Windows NT 
Server 4.0 появился инструмент, заимствованный в Windows 95 и позволя- 
ющий гибко формировать профили как для всех работающих в системе, 
так и для определенных пользователй, — System Policy Editor (Редактор 
системной политики). Располагается он в группе Administrative Tools. 
Редактор системной политики позволяет определять политику по отно- 
шению к пользователям и к компьютерам с установленной Windows МТ 
или Windows 95. Функции редактора охватывают все возможности как 
уже рассмотренных средств администрирования, так и инструментов, 
описанных далее в этой главе. 


эхо ооо ооо» 
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Системная политика по отношению 
к пользователям 


КАХА. 


Все элементы политики применяемой по отношению к пользовате- 
лям, входящим в домен, делятся на следующие категории: 


> 


Control Panel (Панель управления). Определяет политику, 
предотвращающую доступ пользователя к настройкам парамет- 
ров дисплея в Control Panel. 


Desktop (Рабочий стол). Принудительно устанавливает оформ- 
ление рабочего стола (цветовые схемы, обои). 


Shell (Оболочка). Устанавливает ограничения на элементы ин- 
терфейса, содержимое некоторых папок и возможность сохра- 
нения модификаций профиля. 


System (Система). Устанавливает ограничения на использова- 
ние средств редактирования реестра и запуск программ. 


Windows NT Shell (Оболочка Windows МТ). Позволяет пол- 
ностью переопределить содержимое папок, значки, используе- 
мые для их отображения на рабочем столе, а также устанавли- 
вает ограничения на применение расширений оболочки и об- 
щих групп программ. 


Windows МТ System (Система Windows МТ). Позволяет оп- 
ределять переменные окружения для пользователя. 


Эти элементы политики можно применять по умолчанию для всех 
пользователей домена, для отдельных пользователей домена или групп, а 
также для локальных пользователей. Подробно об этих элементах рас- 
сказано далее в этой главе. 


Системная политика по отношению 
к компьютерам 


Редактор системной политики позволяет определять значения парамет- 
ров как для всех компьютеров, входящих в домен, так и для отдельно взя- 
тых компьютеров. Параметры, определенные для компьютера по умолча- 
нию, применяются при регистрации на компьютере нового пользовате- 
ля, по отношению к которому пока не проводится системная политика. 
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Элементы политики, проводимой по отношению к компьютеру, де- 
лятся на такие категории: 


> Network (Сеть). Устанавливает правила назначения системной 
политики. 


> System (Система). Устанавливает параметры, необходимые для 
осуществления управления по протоколу SNMP, а также опреде- 
ляет приложения, запускаемые при старте системы. 


> Windows МТ Network (Сеть Windows МТ). Ограничивает ис- 
пользование административных каталогов, предоставляемых 
для совместного доступа. 


Windows NT System (Система Windows МТ). Указывает mpa- 
вила регистрации на компьютере, использование возможностей 
файловой системы, а также параметры доступа по протоколу FTP. 


> Windows МТ Printers (Принтеры Windows МТ). Устанавливает 
параметры печати: приоритет, информацию о доступности прин- 
тера и сообщения об ошибках печати. 


> Windows NT Remote Access. (Удаленный доступ Windows 
NT). Определяет некоторые, наиболее общие параметры удален- 
НОГО ДОСТУПА. 


> Windows NT User Profiles (Профили пользователей Win- 


dows МТ). Определяет параметры при работе пользователя в “мед- 
ленных” сетях. 


ооо оо оо оо ооо ооо оо ооо ооо 08088880886 8 8 6 
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Два режима работы Редактора 
системной политики 


Редактор системной политики работает в двух режимах: реестра и фай- 
ла политики. В первом можно непосредственно редактировать значения, 
хранящиеся в реестре локального или любого удаленного компьютера. 
Все изменения сразу вступают в силу. Во втором режиме можно создавать 
и модифицировать файлы системной политики (расширение .POL). При 
этом реестр редактируется косвенно, а изменения вступают в силу только 
во время регистрации пользователя на компьютере. 


Чтобы работать в режиме реестра, в System Policy Editor выберите в 
меню File команду Open Registry (для модификации параметров в реес- 
тре локального компьютера) или команду Connect (для модификации 
параметров в реестре удаленного компьютера). В первом случае сразу 
откроется такое окно: 
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Два значка соответствуют параметрам локального пользователя (Local 
User) и локального компьютера (Local Computer). Обратите внимание 
на заголовок окна — Local Registry (Локальный реестр). 


Если Вы решили редактировать реестр удаленного компьютера, вызвав 
команду Connect, Вам будет предложено выбрать одного из пользовате- 
лей, подключенных к этому компьютеру (обычно это всего один пользо- 
ватель), чьи параметры в реестре Вы хотите редактировать. Укажите нуж- 
ное имя, и появится диалоговое окно: 


Local User Local 
Computer 


OT описанного ранее OHO отличается лишь заголовком Registry on <имя 
компьютера>. 


Для работы в режиме редактирования файла политики в меню File выбе- 
pute команду Open Policy (Открыть файл политики) или New Policy 
(Новый файл политики). Появится диалоговое окно с именем редактиру- 
емого файла политики в заголовке. 


фо оо ооо ооо о ооо ооо ооо оо ооо соо ооо ооо оо ооо ee eee Fes 8 
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|2 Syst 


Default User sergeya Default 
Computer 


Чтобы отредактировать параметры, устанавливаемые по умолчанию для 
всех пользователей или всех компьютеров, дважды щелкните значок 
Default User или Default Computer. В появившемся диалоговом окне 
будет представлено дерево параметров и значения, соответствующие па- 
раметрам. Значения отображаются в виде флажков, каждый из которых 
может быть в одном из трех состояний: отмечен, не отмечен, заштрихован. 


[8] Default User 
1.52 Control Panel 


'. М] Restrict display 
9. Desktop 
„Я Wallpaper 
‘.. i] Color scheme 
=] A) Shell 
_ © QQ Restrictions 


MR Remove Run command trom Start menu 


:.. Remove folders from Settings on Start menu 
:. f] Remove Taskbar from Settings on Start menu 
:.. ff] Remove Find command from Start menu 
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Отмеченный флажок COOTBETCiLycT тому параметру, который будет при- 
менен в политике, неотмеченный — параметру, действие которого отме- 
нено, a заштрихованный — параметру, значение которого не изменялось 
с момента предыдущего редактирования. “Третье состояние” позволяет 
не думать обо всех параметрах, а устанавливать только необходимые. 


Два вида загрузки системной политики 


ооо ооо оо ооо ооо ооо ооо ооо ооо ооо ооо ооо Gee & 6 G 


Системная политика может быть загружена на рабочую станцию автома- 
тически или принудительно. Для автоматической загрузки файл систем- 
ной политики должен располагаться на сервере в строго определенном 
месте и иметь определенное имя. Файл политики должен храниться в: 


\\главный контроллер AomeHa\netlogon\config. pol. 
— для клиентов Windows 95 и 
\\главный контроллер fomeHa\netlogon\ntconfig. pol. 


— для клиентов Windows МТ. 


Понятно, что в системе с несколькими контроллерами домена регистра- 
ция пользователя может быть выполнена любым из них. Чтобы сработала 
автоматическая загрузка политики, необходимо обеспечить тиражиро- 
вание файла config.pol на другие контроллеры домена. 


Если Вы планируете применить разную системную политику к разным 
пользователям и/или компьютерам в сети, можно определить для них от- 
дельные файлы политики, которые будут загружаться принудительно. 
Эти файлы могут лежать в произвольных местах (даже локально на рабо- 
чих станциях) и определяются параметром Remote update. Для его мо- 
дификации дважды щелкните значок Local Computer или значок выб- 
ранного компьютера, затем в разделе Network раскройте ветвь System 
policies update и отметьге флажок Remote update. В нижней части ди- 
алогового окна (см. рисунок) укажите вид загрузки (Update тоае): 
Manual (Use specific path), а чуть ниже укажите полный путь к файлу 
политики в формате UNC. 


Замечание: На удаленном клиенте должен работать сервис Microsoft 
Remote Registry, должно быть разрешено удаленное администрирование и 
активизирована защита на уровне пользователя (для Windows 95). 
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Default Computer 

[= ЦО Network 

; 2 i System policies update 
: В Me Remote update 


с > Windows NT Network 
<Q Windows NT System 
it $ Windows МТ Printers 
3; @ Windows NT Remote Access 


a &S Windows NT User Profiles 


Manual use specific path] 


\\nts4Ofyodorz\netlagon\config.pal—_ 


В крупных сетях при одновременном входе в систему тысяч пользовате- 
лей, обращающихся к одному файлу политики, производительность сети 
может заметно снизиться. Чтобы уменьшить нагрузку на контроллер до- 
мена, отметьте флажок Load Balancing (Балансировка загрузки) на всех 
контроллерах домена, используемых для регистрации пользователей и 
содержащих файл системной политики. 


ооо ооо ооо о ооо осо оо зоо ооо ов ое о ооо se & 6 GG 


Групповая политика 


Для удобства управления большим числом пользователей можно устанав- 
ливать системную политику для групп. При этом применяются глобаль- 
ные группы домена, определенные в User Manager for Domains. Чтобы 
включить ту или иную группу в файл системной политики, выберите в 
меню Edit команду Add Group и укажите в списке имя нужной глобаль- 
ной группы домена. Можно указать имя другого домена и группу из него. 
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Когда значок группы появится в диалоговом окне Редактора системной 
политики, дважды щелкните его и устанавливайте необходимые парамет- 
ры точно так, как это делалось для отдельного пользователя. 


Политика, определенная для нескольких групп, будет загружаться, начи- 
ная с групп с наименьшим приоритетом. Обрабатываются все группы, 
но группа с наивысшим приоритетом — в последнюю очередь, поэтому, 
если пользователь принадлежит сразу к нескольким группам, то парамет- 
ры, закрепленные за группой с более высоким приоритетом, приводят к 
замене соответствующих параметров для групп с более низким приори- 
тетом. 


Замечание: Если к какому-то пользователю, входящему в группу, приме- 
няется своя системная политика, групповая политика на него не распро- 
страняется. 


Кто же устанавливает приоритеты для групп? Конечно, администратор 
домена либо лицо с соответствующими полномочиями. Для установки 
приоритетов в меню Options выберите команду Group Priority. В по- 
явившемся диалоговом окне будут перечислены глобальные группы, ох- 
ваченные системной политикой. Выделяя ту или иную группу и щелкая 
кнопки Move up (передвинуть выше) или Move down (передвинуть 
ниже), изменяют относительный приоритет групп. 


up Priority 


& } Domain Admins 


маркетинг 


На приведенном рисунке у группы Domain Admins приоритет выше, чем 
у группы Маркетинг. Системная политика запрещает членам группы 
Маркетинг изменять конфигурацию рабочего стола, изменять цвето- 
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вую гамму и заставки экрана, но разрешает все это членам группы 
Domain Admins. Допустим, Юрий принадлежит к обеим группам. В та- 
ком случае даже несмотря на то, что членам группы Маркетинг запре- 
щено изменять настройки рабочего стола, Юрий сможет это сделать, так 
как на группу Domain Admins это ограничение не распространяется. 


@®@¢% @ @ @ 


Параметры системной политики 


В этом разделе перечислены параметры системной политики, которые 
можно установить в Windows МТ по умолчанию. Они определяются шаб- 
лонами УЛММТАОМ и COMMON.ADM (подробнее о шаблонах см. далее). 
Параметры перечислены в порядке их появления в окне System Policy 
Editor. В этой книге не приведены параметры, задаваемые для Windows 
95 (определяются шаблоном WINDOWS.ADM). Полное их описание со- 
держится в книге Ресурсы Windows 95. 


Параметры, специфичные для пользователя 


Как указывалось выше, для пользователя имеются следующие категории 
параметров: Control Panel, Desktop, Shell, System, Windows NT Shell, 
Windows NT System. Далее в таблицах приведено описание каждого из 
параметров по категориям. В описании ограничений, как правило, указы- 
вается, как пользователь может обойти то или иное ограничение. Адми- 
нистратор должен накладывать ограничения весьма внимательно и “при- 
крывать” всевозможные “лазейки”. 


Параметры Панели управления (Control Panel) 


@ 

® 

@ 

® 

= 

® 

@ 

$ 

8 

® 

@ 

® 

& 

® 

e Параметр Onucanue 

$ 

« Control Panel — Display — Ограничение возможностей 

: Restrict display настройки экрана 

@ Deny access to display icon Запрещает доступ к значку Display 

® . 

» (Запретить доступ к значку Display) в Control Panel. 

: Hide Background tab Скрывает вкладку Background (Фон) 
e (Скрыть вкладку Background) диалогового окна Display Properties. 
Е 

e Hide Screen Saver Tab Скрывает вкладку Screen Saver (Заставка) 
® (Скрыть вкладку Screen Saver) диалогового окна Display Properties. 
® 

® Hide Appearance Tab Скрывает вкладку Appearance 

2 (Скрыть вкладку Appearance) (Оформление) диалогового окна Display 
® Properties. 

Hide Settings Tab Скрывает вкладку Settings (Параметры) 
е (Скрыть вкладку Settings) диалогового окна Display Properties. 
® 
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Параметры рабочего стола (Desktop) 


Параметр Описание 


Wallpaper (Обои) 


Color Scheme (Схема цветов) 


Параметры оболочки (Shell) 


Если отмечен этот флажок, то в качестве 
фонового рисунка устанавливается 
указанное растровое изображение. Если 
отмечен флажок Tile Wallpaper, указанное 
растровое изображение равномерно 
заполняет весь фон экрана. 


Если отмечен этот флажок, используется 
указанная схема цветов. 


Параметр 


Remove Run Command from 
Start menu (Исключить команду 
RUN из меню Start) 


Remove folders from Settings 
on Start menu (Удалить папки 
из меню Settings) 


Remove Taskbar from Settings 
on Start menu (Удалить команду 
Taskbar из меню Settings) 


Remove Find command from 
Start menu (Удалить команду 
Find из меню Start) 


Hide drives in My Computer 
(Скрыть диски в папке 
My Computer) 


Hide Network Neighborhood 
(Скрыть значок папки 
Network Neighborhood) 


No Entire Network in Network 
Neighborhood (Скрыть пункт 
Entire Network в папке Network 
Neighborhood) 


No workgroup contents in Network 


Neighborhood (Отстутствие 
рабочих групп в папке Network 
Neighborhood) 


Onucanue 


Удаляет команду RUN из меню Start. 
Однако это не мешает пользователю 
запускать приложения другим способом 
(скажем, из командной строки). 


Запрещает доступ к разделу Settings 
(Настройки) в меню Start. Тем не менее 
доступ к отдельным элементам этого 
раздела возможен из других мест. 


Запрещает вызов настройки параметров 
Панели задач из меню Start. При этом 
щелчок правой кнопкой мыши Панели 
задач с последующим выбором в меню 
команды Properties вызывает диалоговое 
окно настройки. 


Запрещает использование команды Find 
(Поиск) в меню Start. Если установлен 
клиент MSN, вызов аналогичной функции 
в нем не запрещен. 


Запрещает доступ к дискам в папке Му 
Computer. Запустив File Manager, можно 
получить обычный доступ KO всем дискам. 


Запрещает доступ к сети в папке Network 
Neighborhood. Доступ через File Manager 
по-прежнему не ограничен. 


Запрещает просмотр структуры всей сети 
в папке Network Neighborhood. Просмотр 


средствами File Manager тем не менее 
возможен. 


Запрещает показ состава рабочих групп 
в папке Network Neighborbood. Просмотр 
средствами File Manager тем не менее 
возможен 
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Параметры оболочки (5реП) (продолжение) 


Параметр 


Описание 


Hide all items оп desktop (Скрыть 
все объекты на рабочем столе) 


Disable Shutdown command 
(запретить команду Shutdown) 


Don’t save settings on exit 
(не сохранять параметры 
настройки при выходе) 


Запрещает доступ ко всем объектам 
на рабочем столе. 


Запрещает выполнение команды Shut 
Down (Завершение работы) и выводит 
соответствующее пояснение. 


Запрещает сохранение параметров на 
диске. Аналогичен по действию 
обязательному профилю пользователя. 


Параметры системы (System) 


Параметр 


Disable Registry Editing Tools 
(Запретить использование 


средств редактирования Реестра) 


Run Only Allowed Windows 
applications (Разрешить 


исполнение только определенных 


программ для Windows) 


Описание 


Запрещает доступ к редактору реестра, 
но не запрещает доступ к режиму работы 
Registry в System Policy Editor. 


Запрещает запуск любых приложений для 
Windows, кроме указанных Вами. 
Проверка осуществляется по имени 
исполняемого файла. Поэтому самые 
сообразительные пользователи смогут 
запускать “недозволенные” программы, 
переименовав их файлы. 


Параметры оболочки Windows NT (Windows NT Shell) 


Параметр 


Описание 


Custom Folders 


Custom Programs folder 
(Папака Programs) 


Custom desktop icons 
(Значки на рабочем столе) 


Hide Start menu subfolders 
(Скрыть папки, вложенные 
в меню Start) 


Custom Startup folder 
(Папка Startup) 


Custom Network Neighborhood 
(Папка Network Neighborhood) 


Собственные папки 


Изменяет содержимое каталога Programs. 
Укажите путь к этому каталогу, содержа- 
щему исполняемые или П\К-файлы 


Переопределяет значки на рабочем столе. 
Укажите путь к каталогу, в котором лежат 
исполняемые или ГМК-файлы. 


Этот параметр устанавливается, если 
у Вас собственная папка Programs. 

В противном случае у пользователя 
появятся два раздела Programs. 


Изменяет содержимое каталога Startup. 
Укажите путь к каталогу, в котором лежат 
исполняемые или [УК-файлы 


Изменяет содержимое каталога Network 
Neighborhood. Укажите путь к каталогу, 
где лежат исполняемые или П\К-файлы и 
который включается в сетевое окружение. 
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ХУ Ааа. 


Параметры оболочки Windows МТ (Windows NT Shell) (продолжение) 


Параметр 


Описание 


Custom Start menu 
(Папка Start menu) 


Custom shared Programs folder 
(Совместно используемая 
папка Programs) 


Custom shared desktop icons 
(Совместно используемые 
значки на рабочем столе) 


Custom shared Start menu 
(Совместно используемая 
папка Start menu) 


Custom shared Startup folder 
(Совместно используемая 
папка Startup) 


Restrictions 


Only use approved shell extensions 
(Использовать разрешенные 
расширения оболочки) 


Remove common program groups 
from Start menu (Удалить общие 
группы программ из меню Start) 


Изменяет структуру меню Start. 
Необходимо указать путь к каталогу, 

в котором лежат исполняемые или 
ГМК-файлы, определяющие новое меню. 


Изменяет содержимое совместно 
используемого каталога Programs. 
Укажите путь к этому каталогу, содержа- 
щему исполняемые или ГМК-файлы. 


Переопределяет значки на рабочем столе. 
Укажите путь к совместно используемому 
каталогу, в котором лежат исполняемые 
или Г\МК-файлы. 


Изменяет структуру совместно 
используемого меню Start. Укажите путь 

к каталогу, в котором лежат исполняемые 
или ГМК-файлы, определяющие новое 
меню. 


Изменяет содержимое совместно 
используемого каталога Startup. Укажите 
путь к каталогу, в котором лежат 
исполняемые или ПУК-файлы 


Ограничения 


Не позволяет пользователям работать 
с непроверенными расширениями 
оболочки, способными вызвать дополни- 
тельную загрузку служб поддержки. 


Удаляет общие программы, позволяя 
пользователю запускать только его 
личные приложения (например, 
открывать файл MDB, но не запускать 
Microsoft Access). 


Параметры системы Windows NT (Windows NT System) 


Параметры Описание 

Parse AUTOEXEC.BAT Когда отмечен этот флажок, параметры 
(Просматривать файл окружения, описанные в файле 
AUTOEXEC.BAT) AUTOEXEC.BAT, добавляются к парамет- 


рам окружения пользователя. 
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Параметры, специфичные для компьютера 


Выше говорилось, что для пользователя имеются следующие категории 
параметров: Network, System, Windows NT Network, Windows NT 
System, Windows NT Printers, Windows NT Remote Access, Windows NT 
User Profiles. В следующих таблицах приведены описания параметров 


по категориям 


Параметры сети (Network) 
Параметр 


System policies update — Remote 
update (Обновление системной 
политики — Удаленное обновление) 


Описание 


Если отмечен этот флажок, обновление 
политики выполняется по следующим 
правилам: 


Update Mode — определяет, должна ли 
системная политика загружаться 
автоматически (выбирается по 
умолчанию) или вручную. 


Path for manual update — определяет 
полный путь к файлу (записанный через 
UNC) системной политики в случае 
ручной загрузки политики. 


Display Error messages — если отмечен 
этот флажок, пользователю выводятся 
сообщения об ошибках загрузки 
системной политики. 


Load balance — если отмечен этот 
флажок, происходит балансировка 
процесса загрузки: файлы политики 
загружаются не только с главного 
контроллера домена, но и с тех серверов, 
на которых выполняется аутентификация 
пользователя. 
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Описание 


Communities (сообщества) 


Permitted Managers 
(Управляющие) 


Traps for public community 
(Перехваты для сообщества 
Public) 


Run 


Вип (Загружать при запуске) 


Вип опсе (Однократно 
загружать при запуске) 


Указывает одну или несколько групп 
хост-компьютеров, к которым относится 
данный компьютер. Предназначен для 
администрирования с использованием 
SNMP. Этим сообществам разрешается 
обращаться к агенту SNMP. 


Указывает [Р- или 1РХ-адреса, по которым 
разрешено получать информацию 

от агентов SNMP. Если этот параметр 
не определен, любые 5ММР-консоли могуг 
обращаться к агенту. 


Указывает IP- или ПРХ-адреса Tex хост- 
компьютеров в сообществе Public, 
которым Вы хотите пересылать 
перехваты от сервиса SNMP. 


Запуск 


Определяет, какие приложения или 
утилиты выполняются при регистрации 
пользователя. Щелкните кнопку Show для 
редактирования списка этих приложений. 


Определяет, какие приложения или 
утилиты однократно выполняются при 
регистрации пользователя. Щелкните 
кнопку Show для редактирования списка 
этих приложений 


Параметры сети Windows NT (Windows NT Network) 


Onucanue 


Create hidden drive shares 
(Workstation) (Создавать скрытые 
совместно используемые 

ресурсы — рабочая станция) 


Create hidden drive shares (Server) 
(Создавать скрытые совместно 
используемые ресурсы — сервер) 


Совместное использование 


Если отмечен этот флажок, при запуске 
рабочей станции автоматически 
создаются ресурсы вида <имя диска>$ 

и Admins. Наличие таких ресурсов 
снижает защищенность системы, так что 
сбросьте этот флажок. 


Если отмечен этот флажок, то при 
запуске сервера автоматически создаются 
ресурсы вида <имя диска>$ и Admins. 
Наличие таких ресурсов снижает 
защищенность системы, так что сбросьте 
этот флажок. 


КАХА Ая: 
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Параметры системы Windows МТ (Windows NT System) 


Параметр 
Logon 


Logon banner 
(Заставка при регистрации) 


Automatic logon 
(Автоматическая регистрация) 


Enable shutdown from 
Authentication dialog box 
(Разрешение терминировать 
систему из диалогового 
окна Authentication) 


Do not display last logged on 
user name (Не показывать имя 
предыдущего пользователя) 


File System 


Do not create 8.3 file names for 
long file names (Не создавать 
файлов формата 8.3 для длинных 
имен файлов) 


Allow extended characters in 8.3 
file names (Разрешить 
использование расширенных 
символов в именах файлов 
формата 8.3) 


Описание 


Регистрация 


Позволяет указать заголовок и текст 
сообщения, выводимого при регистрации 
пользователя. Назначение аналогично 
предупреждению о легальности 
использования. (Подробнее см. главу 
Система безопасности Windows NT.) 


Позволяет автоматически загружать 
систему. Для этого укажите имя учетной 
записи, которая будет использоваться 
для регистрации, и соответствующий 
пароль. Такой способ регистрации сильно 
снижает защищенность системы 

(см. раздел Автоматическая регистрация 

в главе Система безопасности 

Windows NT, где объяснено, в каких 
случаях его использовать). 


Когда отмечен этот флажок в диалоговом 
окне Authentication доступна кнопка 
Shutdown. По умолчанию она недоступна 
в Windows МТ Server и доступна 

в Windows NT Workstation. 


Когда этот флажок отмечен, в диалоговом 
окне Authentication не отображается имя 
последнего зарегистрировавшегося 
пользователя. В целях повышения защиты 
рекомендуется этот флажок отмечать. 


Файловая система 


По умолчанию каждому файлу, ииеющему 
длинное имя, соответствует еще одно имя 
в формате 8.3. Если в сети нет клиентов, 
не умеющих работать с длинными 
именами файлов (например, DOS или 
Windows 3.х), можно отметить этот 
флажок. 


Если отмечен этот флажок, то в коротких 
именах файлов могут использоваться 
символы национальных алфавитов 
(например, русские). Следует помнить, 
что если на клиенте не установлена 
соответствующая кодовая страница 

(806 для русского языка), TO их доступ 
к таким файлам будет невозможен 

(см. главу Файловые системы 

и разграничение доступа к файлам 

и каталогам). 
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Параметры системы Windows NT (Windows NT System) (продалжение) 


Параметр 


Описание 


Do not update last access time 
(Не обновлять время последнего 
доступа к файлу) 


FTP Logon 


Allow anonymous FTP logon 
(разрешить анонимную 
регистрацию по ЕТР) 


Specify home directory 
(Указать домашний каталог) 


Log successful anonymous logon 
(Фиксировать успешную 
анонимную регистрацию) 


Connection timeout 
(Тайм-аут при соединении) 


Если на сервере хранятся файлы, доступ 

к которым открыт только на чтение, то, 
отметив этот флажок, можно существенно 
повысить производительность системы. 


Регистрация по ЕТР 


Разрешает анонимным пользователям 
регистрироваться по FTP. В системах 

с повышенной защитой этот флажок 
надо сбросить. 

Если отмечен дополнительно флажок 
Allow only anonymous FTP logon, ТО ПО 
FTP будут возможны только анонимные 
регистрации. При этом можно указать 
имя анонимного пользователя в поле 
Anonimous FTP logon alias. 


Указывается каталог, в который попадает 
каждый новый пользователь после 
регистрации. 


Можно вести учет всех пользователей, 
зарегистрировавшихся по ЕТР. 
Необходимо указать каталог, в котором 
находится файл регистрации 
пользователей. 


Указывается промежуток времени, по 
истечении которого пользователь будет 
отключен от ЕТР-сервера в случае 
отсутствия какой-либо деятельности. 


Параметры принтеров Windows NT (Windows NT Printers) 


Параметр 


Описание 


Disable browse thread оп this 
computer (Запретить просмотр 
на этом компьютере) 


Scheduler priority 
(приоритет планировщика) 


Веер for error enabled 
(Сигнал в случае ошибки) 


Когда отмечен этот флажок, спулер 
печати не посылает информацию 
о принтере на другие серверы печати. 


Устанавливается приоритет планировщика 
печати. Доступны три значения: 

Above normal (выше нормального) 
Normal (нормальный) 

Below normal (ниже нормального) 


Если отмечен этот флажок, то в случае 
ошибки на удаленном сервере печати 
каждые 10 секунд раздается звуковой 
сигнал. 
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Параметры удаленного доступа Windows NT 
(Windows NT Remote Access) 


Параметр Описание 

Max number of unsuccessful Указывается максимально допустимое 
authentication § retries число попыток аутентификации 
(Максимальное число неудачных удаленного пользователя. При 
попыток аутентификации) превышении происходит разрыв связи. 


По умолчанию — 2. 


Max time limit for authentication Указывается максимальное время, 

(Максимальное время отводимое на аутентификацию. При 

аутентификации) превышении происходит разрыв связи. 
По умолчанию 120 секунд. 


Wait interval for callback Указывается интервал времени, в течение 
(Время ожидания обратной связи) которого ожидается звонок для 
установления обратной связи. 
По истечении этого промежугка система 
переходит в исходное состояние. 


Auto disconnect Если в течение указанного интервала 
(Автоматическое отключение) времени не наблюдалась активность 
по каналу удаленного доступа, 
происходит автоматический обрыв связи. 
По умолчанию 20 минут. Однако следует 
помнить, что на сервере этот интервал 
может быть меньше. 


Параметры профилей пользователей Windows NT (Windows NT 
Users Profiles) 


Параметр Описание 


Automatically detect slow network Автоматически определяется работа 

connections (автоматически по медленному каналу связи. В этом 

определять медленные каналы) случае не передается информация обо 
всех профилях. 


Slow network connection timeout Если в течение указанного интервала 

(тайм-аут для медленного канала) времени не наблюдалась активность 
по медленному каналу, выдается 
сообщение о тайм-ауте 


Timeout for dialog boxes (тайм-аут Время неактивности диалоговых окон. 
для диалоговых окон) 
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Шаблоны для формирования системной 
политики 
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Редактор системной политики, как мы уже говорили, использует шабло- 
ны, те. текстовые файлы с расширением .ADM, хранящиеся в каталоге 
%systemroot% ИМЕ. Вы можете создавать свои собственные шаблоны для 
настройки приложений, используемых в корпоративной среде. Напри- 
мер, внутрифирменные базы данных, система электронной почты, опер- 
день и др. Понятно, что эти приложения должны хранить свои настройки 
в реестре, а не в ПУГ-файлах. 


Для загрузки нового шаблона в редактор системной политики убедитесь, 
что текущий файл закрыт (изображается равномерное серое поле), и в 
меню Options выберите команду Policy Template. В появившемся диало- 
говом окне нажмите кнопку Add и укажите новый (или дополнительный) 
файл-шаблон. 


[D:\WINNT4S\INF\COMMON.ADM 
7 D:\WINNT4S\inf\windows. adm 
1D:\WINNT4S\INFAWINNT.ADM 


Диалоговое окно Policy Template Options. 


Что реально происходит при добавлении нового шаблона? Каждый шаб- 
лон содержит набор ключей реестра в различных его ветвях. Поэтому 
добавление нового шаблона выразится в появлении новых значений, 
доступных для редактирования редактором системной политики и соот- 
ветствующих иным ветвям и ключам реестра. На рисунке схематично 
показано образование нового файла системной политики при слиянии 
шаблонов. 
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Connect Network Drive 


Path: \ASRVIIARES 


м Reconnect at Logon 


Shared Directories: (_] Expand by Default 


у Microsoft Windows Network 
af NetWare or Compatible Network 


В шаблонах применяется несколько ключевых слов, синтаксических KOH- 
струкций и символов. Подробнее о структуре шаблона см. книгу Ресурсы 
Windows 95. 


ЖА: 


Определение общих параметров 
учетной записи 


Чтобы определить общие параметры учетной записи — срок ее действия и 
принадлежность к локальным или глобальным — “нажмите” кнопку Account в 
диалоговом окне Users Properties. 


Account Information 


User: fyodorz (Fyodor Zubanoy) 


Account Expires Account Type 


@ Never © Global Account 
7 for regular user accounts in this domain 


a © Local A t 
Okndot Г В Local Accoun 


for users from untrusted domains 


Диалоговое окно Account Information. 
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В появившемся диалоговом окне укажите срок действия учетной записи. По 
умолчанию учетная запись не имеет ограничений по времени. Но если Вы, 
например, наняли временного сотрудника, установите срок жизни учетной 
записи равным сроку его работы в организации. Это гарантия от случайного 
или преднамеренного доступа данного сотрудника в сеть по истечении срока 
контракта. 


По умолчанию вновь создаваемая учетная запись является глобальной и при- 
надлежит домену. Если же надо сделать учетную запись локальной для данного 
сервера, пометьте соответствующий флажок. О назначении и различиях гло- 
бальных и локальных учетных записей см. раздел Учетные записи пользовате- 
лей. 


Управление политикой ведения учетных записей 


Рассматривая выше средства администрирования индивидуальных пользовате- 
лей, мы показали возможность определения правил изменения пароля и приви- 
легий для каждого пользователя. Но существует ряд общих для сервера или до- 
мена в целом параметров, позволяющих заметно повысить защищенность. Эти 
параметры объединены в одно общее понятие: политика ведения учетных за- 
писей. Для управления политикой ведения учетных записей в Windows МТ вер- 
сии 3.5x используется User Manager for Domains (на сервере) и User Manager 
(на рабочей станции), а в Windows МТ версии 4.0 добавляется и рассмотренный 
ранее редактор системной политики System Policy Editor. 


Account Policy 
Domain: MOW-DEMO-M 
Password Restrictions 


Maximum Password Age Minimum Password Age 
© Password Never Expires @ Allow Changes Immediately 


[42 № © Allow Changes т Days 


Minimum Password Length Password Uniqueness 
@ Permit Blank Password ® Do Not Keep Password History 


© At Least Characters о Remember Passwords 


@ No account lockout 
Account lockout 


Lockout after bad logon attempts 
Reset count after minutes 


Lockout Duration 
$ Forever (until admin unlocks) 


о Duration minutes 


CJ Forcibly disconnect remote users from server when logon hours expire 
_] Users must log on in order to change password 
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Политикой задаются: 


максимальный срок действия пароля; 

минимальная длина пароля; 

минимальный срок сохранения пароля неизменным; 
уникальность пароля; 


блокировка учетных записей при неудачной регистрации; 


VV vVVV Y 


продолжительность блокировки, 


а также некоторые другие параметры. 


Установка максимального срока 
действия пароля 


Если пользователь долго не меняет своего пароля, защищенность системы от 
несанкционированного доступа, безусловно, снижается. Случается, во время 
регистрации в системе некто посторонний подсмотрит за вводимым паролем, 
а потом пользуется им. А кое-кто для простоты набирает стандартные комбина- 
ции вроде даты рождения, своего имени или имен ближайших родственников, 
названия компьютера, за которым работает и т.п. Вероятность раскрытия тако- 
го пароля, естественно, высока. Поэтому-то система должна принуждать 
пользователя к периодической смене пароля. 


Политика ведения учетных записей позволяет установить определенный срок 
действия пароля в пределах от 1 до 999 дней или сделать его постоянным. По 
умолчанию предлагается установить продолжительность действия пароля в 42 
дня. Если же Вы предъявляете повышенные требования к защищенности сети, 
то рекомендуемое значение — менее 30 дней. 


Когда приблизится конец срока действия пароля, пользователю при регистра- 
ции в системе будет выдано сообщение о том, что срок действия пароля конча- 
ется через М дней, и предложено изменить пароль незамедлительно. Пока срок 
действия пароля не истек, данное сообщение можно игнорировать или изме- 
нить пароль. Если же пароль так и не будет изменен, учетная запись будет заб- 
локирована. 


Если администратор указал опцию Password Never Expires для конкретного 
пользователя, последний может не менять пароль. Это рекомендуется делать 
только для служебных учетных записей, от имени которых исполняются серви- 
сы в системе. 
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Изменение минимальной длины пароля 


По умолчанию длина пароля, устанавливаемого пользователем, варьируется от 
О до 14 символов. Понятно, что при повышенных требованиях к защищенности 
системы пустой пароль недопустим. В этом случае администратор системы 
должен определить в политике ведения учетных записей минимальную длину 
пароля. Рекомендуемый минимум — 6 символов. 


Создавая новую учетную запись для пользователя, администратор может ука- 
зать пароль произвольной длины независимо от ограничения, заданного поли- 
тикой ведения учетных записей. Но если пользователь будет изменять свой 
пароль после регистрации в системе, он сможет ввести пароль только в COOT- 
ветствии с политикой ведения учетных записей. 


Описанная ситуация таит в себе опасность. Допустим, администратор назначил 
новому пользователю пустой пароль и установил флажок User Must Change 
Password At Next Logon. Естественно, регистрируясь в первый раз, пользова- 
тель заменит пароль на новый в соответствии с установленной политикой веде- 
ния учетных записей. Но пока пользователь не выполнит эту первую регистра- 
цию, пароль по-прежнему останется пустым. Поэтому, создавая новую учетную 
запись, администратор должен назначать пароль длиной минимум 6 символов, 
что в большинстве случаев достаточно надежно. 


Установка продолжительности запрета 
на изменение пароля пользователем 


В ряде случаев применяется параметр, ограничивающий минимальное время, 
через которое пользователь может изменять свой пароль. 


Во-первых, если в системе работает много пользователей, недавно познакомив- 
шихся с системой Windows МТ, имеет смысл установить определенный срок, в 
течение которого они привыкнут к особенностям защищенной работы и пой- 
мут необходимость запоминания своего пароля. Тогда новичок, даже забыв свой 
пароль, на первых порах сможет обратиться к администратору, чтобы тот на- 
помнил комбинацию, установленную некоторое время назад. 


Во-вторых, новичок, сменив по истечении срока действия пароль, может захо- 
теть вернуться к прежнему. Так как это ослабит защищенность системы, прину- 
дительная задержка не позволит это сделать. Это особенно эффективно, если 
установить параметр отслеживания уникальности пароля, описанный ниже. 
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Минимальный период для разрешения смены пароля по умолчанию не ограни- 
чивается и варьируется в пределах от 1 до 999 дней. Обычно достаточно 14 
дней. 


Если для конкретного пользователя администратор указал Allow Changes Im- 
mediately, последний может изменять пароль в любое время. 


Хранение истории паролей 


Данный параметр позволяет запоминать в системе от 1 до 24 паролей, что обес- 
печивает на протяжении длительного времени уникальные пароли для пользо- 
вателя. Данный параметр особенно эффективен совместно с ограничением 
периода, в течение которого пользователю запрещено изменять пароль. Допу- 
стим, Вы установили 10 дней, указав необходимость сохранения 20 паролей. 
Тогда пользователь, сменив пароль, сможет его применять снова только через 
200 дней. 


Блокировка учетных записей 


Следующая группа параметров связана с защитой системы от незаконного про- 
никновения путем подбора пароля. Предположим, злоумышленнику известно 
имя учетной записи пользователя. Тогда он может подобрать пароль либо вруч- 
ную, либо с помощью специальной программы. Чтобы этого не случилось, уста- 
новите максимальное число неудачных попыток регистрации (по умолчанию 
5), после которых учетная запись будет заблокирована. Еще можно указать вре- 
мя, через которое счет неудачных попыток сбросится (по умолчанию 20 ми- 
нут), и время, в течение которого учетная запись будет блокирована (по умол- 
чанию 1 час). После удачной регистрации счет неудачных регистраций будет 
обнулен. 


Устанавливаемые периоды блокировки зависят от условий работы. Обычно ус- 
танавливаемых по умолчанию значений вполне достаточно. Не рекомендуется 
устанавливать “вечную” продолжительность блокировки (т.е. до разблокирова- 
ния его администратором). Эта установка таит потенциальную опасность. Зная 
имена учетных записей всех администраторов системы, злоумышленник без 
труда заблокирует их, и система станет неуправляемой. Поэтому устанавливай- 
те длительный, но разумный промежуток времени. 


Сказанное не относится к учетной записи Administrator — она не блокируется. 
Но при этом. можно использовать неограниченное число попыток подбора 
пароля. Выход из этой ситуации — дать учетной записи Administrator какое- 
либо еще, известное только администратору системы имя. 
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Принудительное отключение удаленных 
пользователей по истечении разрешенного 
времени работы 


Эта функция позволяет системе отключать пользователей, чье установленное 
допустимое время работы истекло. По умолчанию система их не отключает, но 
если эта опция установлена, то за несколько минут до истечения указанного 
времени система предупредит пользователя о предстоящем отключении и точ- 
но в срок выполнит отключение. Если же этот флажок не помечен, система 
будет предупреждать пользователя об истекшем времени работы каждые 10 
минут. Новая регистрация в системе после истечения срока невозможна. 


Если пользователь инициировал некоторый процесс, окончание которого вы- 
ходит за разрешенные временные рамки, этот процесс будет принудительно 
прерван. Единственный выход — попросить администратора дать дополнитель- 
ное время. 


Обязательность регистрации для смены пароля 


Если помечена соответствующая опция, пользователь, прежде чем изменить 
свой пароль, должен зарегистрироваться в системе. Иначе он сделает это и без 
регистрации. Это особенно актуально, когда истекает срок действия пароля. 
Если опция помечена, пользователь самостоятельно не изменит пароль, и ему 
придется обратиться к администратору. Если нет, пароль можно изменить, не 
ставя администратора в известность. 


Блокировка рабочей станции 


С помощью этой функции можно автоматически блокировать рабочую стан- 
цию через определенный период, в течение которого не было активности со 
стороны клавиатуры или мыши. Это обеспечивает защиту от несанк- 
ционированного доступа к компьютеру в период временного отсутствия 
пользователя на рабочем месте. Данная функция, совмещенная с заставками эк- 
рана, доступна через настройку параметров Desktop в Control Panel (по умол- 
чанию не отмечена). 
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Applications 


Fast “Alt+T ab" Switching 
_] Full Drag 


Screen Saver 


Wallpaper Icons 


Fite: 3 | | spacing: Pixels 


@ Center © Tile М Wrap Title 


Sizing Grid Cursor Blink Rate 
Granularity: — Slow Fast 
Border Width: 


Установка параметров блокировки рабочей станции в параметрах 
Заставок экрана (Screen Saver). 


Время задержки блокировки устанавливайте осмотрительно. У пользователя 
может сложиться ложное ощущение безопасности, когда он отходит от своего 
рабочего места. Но он забывает, что, пока рабочая станция будет заблокирова- 
на, пройдет какое-то время. Очень маленький промежуток времени сделает 
работу не совсем удобной, так как даже небольшие паузы в работе вызовут бло- 


кировку консоли. Поэтому блокируйте консоль принудительно перед тем, как 
покинуть рабочее место. 


„> 


ГЛАВА 5 


Файловая система NTFS 


С момента появления самой первой бета-версии Windows NT в 1992 году 
разгорелись споры об используемой в ней файловой системе NTFS. То, 
что ее структура долгое время оставалась неописанной в печати, по- 
рождало массу домыслов о ее достоинствах и недостатках. Даже сей- 
час не всем ясно, за счет чего достигнута столь высокая надежность 
и способность этой системы к быстрому самовосстановлению в случае 
краха. Добавьте еще способность контролировать доступ к каждому 
файлу, поддержку огромных дисков (90 408 млн Тбайт), UNICODE и ряд 
других функций, и Вы получите уникальную в своем роде систему. 
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Файловые системы Windows МТ 


Windows МТ поддерживаются четыре файловые системы: 


В 
> Windows NT file system (NTFS) — исключительно для Windows NT; 

» File Allocation Table (FAT) — для совместимости с приложениями MS-DOS, 
> 


High Performance File System (HPFS) — для совместимости с приложениями 
05/2; 


Vv 


CD-ROM File System (CDFS) (так как эта файловая система не позволяет 
записывать информацию, я ее не рассматриваю). 


Выбор системы зависит от предъявляемых к ней требований и используемых 
приложений. У каждой свои полезные свойства, но возможности защиты и 
аудита систем различны. 


Windows МТ может поддерживать Named Pipes File System (NPFS) и Mailslot File 
System (MSFS), используемые для связи между процессами (в книге они не pac- 
сматриваются). 


File Disk Tree View Options Security FPNW Window Help 
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Изображение дисков с различными файловыми системами 
в окне File Manager. 
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Файловая система ЕАТ 


Файловая система FAT (File Allocation Table) получила свое наименование 
названию метода организации данных — таблицы распределения файлов. 
ЕАТ первоначально была ориентирована на небольшие диски и простые 
структуры каталога. Через несколько лет ее усовершенствовали для обеспе- 
чения возможности работы с большими дисками и мощными персональны- 
ми компьютерами. 


На рисунке показана организация диска с использованием FAT: 


Блок FAT2 Корневой | OBAACTb файлов... 
параметров (копия) | каталог 


BIOS 


Дисковый раздел FAT. 


Windows МТ версии 3.5 и выше использует биты атрибута для поддержки 
длинных имен файлов (до 255 символов) в разделах FAT. Применяемый для 
этого способ не мешает MS-DOS или OS/2 обращаться к подобному разде- 
лу. Всякий раз при создании пользователем файла с длинным именем (пре- 
вышающим стандартное для FAT ограничение “8+3”) Windows МТ создает 
элемент каталога для этого файла, соответствующий соглашению “8+3”, по 
тем правилам, что и для NTFS, плюс один или несколько вторичных элемен- 
тов каталога. Каждый из этих вторичных элементов рассчитан на 13 симво- 
лов в длинном имени файла. Вторичные элементы сохраняют длинную 
часть имени файла в UNICODE. Для этих элементов устанавливаются атри- 
буты: TOM, системный, скрытый, только для чтения. MS-DOS и OS/2 игнори- 
руют элементы каталога с таким набором атрибутов, поэтому они невиди- 
мы в этих операционных системах. Вместо них MS-DOS и OS/2 обращаются 
к стандартным элементам, содержащим информацию в стандарте “8+5”. 


Некоторые дисковые утилиты сторонних производителей, взаимодейству- 
ющие непосредственно с FAT, могут расценивать созданные Windows МТ 
элементы каталога с длинным именем файла как ошибки логической струк- 
туры тома. Попытки этих утилит исправить ошибки могут привести к поте- 
ре файлов и каталогов. Не используйте утилиты работы с диском или деф- 
рагментирования диска, не проверенные на совместимость с Windows МТ. 


Файловая система Windows NT FAT функционирует аналогично MS-DOS и 
Win- dows. Windows МТ можно устанавливать на существующем разделе FAT. 
Если же компьютер работает под управлением Windows 95, можно свобод- 
но создавать длинные имена файлов и каталогов, так как механизмы работы 
с длинными именами в обеих системах одинаковы. 
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Нельзя использовать Windows МТ с любыми программами сжатия или раз- 
биения диска на разделы, если программное обеспечение требует драйве- 
ров MS-DOS. Для чтения подобных дисков нужны драйверы Windows МТ. 


КАТ — система с точной записью. Это означает, что при необходимости 
изменения структуры тома дается команда записи на диск. Недостаток такой 
системы — медленное выполнение преобразованных в последовательность 
операций записи. Дело в том, что первая запись на диск должна быть завер- 
шена прежде, чем начнется вторая и тд. Это не самое эффективное исполь- 
зование возможностей мощных компьютеров. 


Допускается безболезненный перенос или копирование файлов с тома ЕАТ 
Ha NTFS. При выполнении обратной операции информация о разрешениях 
и альтернативных потоках будет потеряна. 


Внимание: ЕАТ не обеспечивает функций защиты данных и автоматического 
восстановления. Поэтому она используется, только если альтернативной сис- 
темой на компьютере является MS-DOS или Windows 95, а также для передачи 
данных на гибких дисках. Кроме того, для RISC-cucreM необходимо, чтобы не- 
большой загрузочный раздел был отформатирован под FAT. В остальных слу- 
чаях использовать FAT не рекомендуется. 


Файловая система HPFS 


HPFS имеет особенности, способствующие эффективному управлению 
большими объемами жесткого диска. HPFS поддерживает длинные (до 255 
символов) имена файлов. 


Когда том форматируется под HPFS, первые 18 секторов резервируются для 
блока начальной загрузки, суперблока и запасного блока. Эти структуры ис- 
пользуются для загрузки операционной системы, поддержки файловой си- 
стемы и восстановления при возможных ошибках. 


В HPFS резервируется пространство под два битовых массива объемом 2 Кб 
для каждого дискового интервала в 16 Мб. Каждый массив отводит по одно- 
му биту для каждого размещаемого блока (равного одному сектору) в поло- 
се 8 Мб, показывая, какие размещаемые блоки используются. 


Битовые массивы поочередно размещаются в конце и начале каждой по- 
лосы, обеспечивая таким образом максимальное количество непрерывного 
пространства для данных (16 Мб). Кроме того, запись новых файлов плани- 
руется так, что между новым и существующим файлами остается свободный 
участок, чтобы каждый файл имел возможность расширения в непрерыв- 
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ном дисковом пространстве. Это свойство HPFS помогает осуществлять бы- 
стрый поиск данных и минимизировать фрагментацию файлов. 


Другая особенность, объясняющая быстрый поиск в каталоге, — технология 
B-tree. Эта древовидная структура с корнем и несколькими узлами содержит 
данные, организованные некоторым логическим способом. Корень содер- 
жит административную информацию, карту для остальной структуры и, 
возможно, некоторые данные. Большинство данных содержится в узлах. С 
большими каталогами технология B-tree работает гораздо эффективнее ли- 
нейных списков, используемых ЕАТ. 


HPFS применяет B-tree для структуризации каждого файла и каталога. Каж- 
дый каталог указывает на структуры Fnode для содержащихся в нем файлов. 
Структура Fnode (ее размер 512 байтов) содержит заголовок, имя файла 
(усеченное до 15 символов), длину файла, расширенные атрибуты, список 
контроля доступа (ACL) и расположение данных файла. 


ACL HPFS поддерживаются только операционной системой OS/2, но He Win- 
dows МТ. Для использования списков контроля доступа необходима NTFS. 


HPFS эффективно работает на дисках объемом до 2 Гб. Однако есть у нее и 
слабые стороны. Например, если повреждена первая часть тома с информа- 
цией начальной загрузки и указателем на корневой каталог, том использо- 
вать невозможно. Применение утилиты ChRkdsk при каждой начальной заг- 
рузке системы и восстановление диска после ошибок требует длительного 
времени. Кроме того, HPFS предполагает применение 512-байтовых секто- 
ров, которые не очень годятся для больших томов. 


HPFS — система с отложенной записью. Работа с данными производится 
через буфер ввода/вывода. Пока пользователь читает файлы или просмат- 
ривает каталоги, необходимые для записи, данные накапливаются в кэше. 
Так что ждать окончания процесса записи не нужно. Запись данных на диск 
производится только в момент низкой загрузки ресурсов компьютера. Не- 
достаток систем с отложенной записью в том, что в случае сбоя диска вос- 
становление данных займет гораздо больше времени, чем в системе с точ- 
ной записью. Это происходит из-за того, что утилита chkdsk должна про- 
сканировать весь том для проверки его фактического состояния. 


Windows МТ поддерживает HPFS прежде всего для совместимости снизу 
вверх при выборочной загрузке OS/2 или Windows МТ. Если использование 
05/2 не планируется, применять HPFS не рекомендуется. 


Замечание: В Windows МТ версии 4.0 файловая система HPFS больше не под- 
держивается. 
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Файловая система NTFS 


NTFS обеспечивает сочетание эффективности, надежности и совместимос- 
TH, невозможное в FAT или HPFS. Она разработана для быстрого выполне- 
ния стандартных файловых операций вроде чтения, записи и поиска, а так- 
же улучшенных операций, например восстановления файловой системы на 
очень болыпих жестких дисках. 


NTFS, включая возможности безопасности, требуемые для файловых серве- 
ров и высококачественных персональных компьютеров в корпоративной 
среде, поддерживает управление доступом к данным и привилегии владель- 
ца, что важно для целостности корпоративных данных. 


NTFS — простая, но очень мощная разработка, для которой вся информация 
на томе NTFS — файл или часть файла. Каждый распределенный на томе 
NTFS сектор принадлежит некоторому файлу. Частью файла являются даже 
метаданные файловой системы (информация, описывающая непосред- 
ственно файловую систему). 


Эта основанная на атрибутах файловая система поддерживает объектно- 
ориентированные приложения, обрабатывая все файлы как объекты с атри- 
OyTaMH, определяемыми пользователем и системой. 


Главная файловая таблица 


Каждый файл на томе NTFS представлен записью в специальном файле — 
главной файловой таблице (Master File Table — MFT). NTFS резервирует пер- 
вые 16 записей таблицы для специальной информации. Первая запись таб- 
лицы описывает непосредственно главную файловую таблицу. За ней следу- 
ет зеркальная запись МЕТ. Если первая запись МЕТ разрушена, NTFS читает 
вторую запись для отыскания зеркального файла МЕТ, первая запись кото- 
рого идентична первой записи МЕТ. Местоположения сегментов данных 
МЕТ и зеркального файла МЕТ записаны в секторе начальной загрузки. Дуб- 
ликат сектора начальной загрузки находится в логическом центре диска. 


Третья запись МЕТ — файл регистрации, применяемый для восстановления 
файлов. Семнадцатая и последующие записи главной файловой таблицы 
используются собственно файлами и каталогами на томе. На рисунке пока- 
зана упрощенная структура МЕТ, обеспечивающая очень быстрый доступ к 
файлам. 
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Главная файловая фрагмент 
таблица 


ЕТ ae 
Запись файла 
регистрации 
Запись 
небольшого файла 


Запись большого 
файла Фрагмент 3 


Запись 
небольшого 
каталога 


Организация главной файловой таблицы. 


Целостность данных и восстановление в NTFS 


NTFS — это восстанавливаемая файловая система, сочетающаяся быстро- 
действие файловой системы с отложенной записью и практически мгновен- 
ное восстановление. 


Каждая операция ввода/вывода, изменяющая файл на томе NTFS, рассмат- 
ривается файловой системой как транзакция и может выполняться как неде- 
лимый блок. При модификации файла пользователем сервис файла регис- 
трации фиксирует всю информацию, необходимую для повторения или 
отката транзакции. Если транзакция завершена успешно, производится мо- 
дификация файла. Если нет, NTFS производит откат транзакции, следуя ин- 
струкциям в информации отмены. При обнаружении в транзакции ошибки 
транзакция прокручивается обратно. 


Файловая система восстанавливается очень просто. При сбое системы NTFS 
выполняет три прохода: анализа, повторов и откатов. В течение анализа на 
основании информации файла регистрации NTFS оценивает повреждение и 
точно определяет, какие кластеры нужно модифицировать. При повторном 
проходе выполняются все этапы транзакции от последней контрольной 
точки. Откат осуществляет возврат всех незавершенных транзакций. 


158 Windows МТ — выбор "профи" 


Важная особенность NTFS — отложенная передача (lazy commit) — позво- 
ляет минимизировать затраты на регистрацию транзакций и подобна отло- 
женной записи. Вместо использования ресурсов для немедленной отметки 
транзакции как успешно завершенной эта информация заносится в кэш и 
записывается в файл регистрации как фоновый процесс. Если сбой проис- 
ходит до того, как информация о транзакции была зарегистрирована, NTFS 
произведет повторную проверку транзакции для определения ее успешно- 
сти. Если NTFS не может гарантировать, что транзакция завершилась успеш- 
но, производится откат транзакции. Никакие незавершенные модификации 
тома не разрешены. 


Каждые несколько секунд NTFS проверяет кэш, чтобы определить состоя- 
ние отложенной записи и отметить его в файле регистрации как KOHT- 
рольную точку. Если после определения контрольной точки произойдет 
сбой, система имеет возможность привести свое состояние к зафиксирован- 
ному контрольной точкой. Данный метод использует оптимальное время 
восстановления, сохраняя очередь событий, которая может потребоваться в 
процессе восстановления. Этот уровень предназначен для защиты метадан- 
ных — пользовательские в случае сбоя системы могут быть разрушены. 


Объем журнала транзакций устанавливается командой CHKDSK /Гразмер. 
Размер указывается в килобойтах. По умолчанию он равен 4 096 Кб. Чтобы 
узнать текущий размер журнала, выполните команду Chkdsk /Т. 


Алинные и короткие имена файлов 


NTFS поддерживает длинные имена файлов (до 255 символов). В имени 
файла используются символы UNICODE, что позволяет создавать файлы, со- 
держащие, например, символы кириллицы. При этом автоматически решен 
вопрос доступа из MS-DOS приложений. NTFS автоматически генерирует 
стандартное для MS-DOS имя вида “8+5”. 


Набор символов UNICODE для имен файлов делает возможным применение 
“запрещенных” символов, которые MS-DOS- и \/шао\5-приложения не чи- 
тают. Поэтому при генерации короткого имени удаляются все такие симво- 
лы и любые пробелы. Далее при необходимости имя усекается до 6 симво- 
лов и добавляется тильда (~) с последующим номером. Повторяющиеся 
имена файлов заканчиваются символами 2, 5 ит. д. Расширение имени фай- 
ла усекается до трех символов. В Windows МТ 3.5x используется несколько 
иной алгоритм при числе файлов с одинаковым началом больше 5. Для 
пятого и последующих файлов Windows МТ использует только два первых 
символа и далее специальной математической операцией генерирует четы- 
ре уникальных символа. Последними двумя символами в файле являются “5. 
Этот метод применяется для томов FAT и NTFS. Ниже приведены примеры 
таких имен файлов. Однако при использовании полностью русских имен 
файлов указанный порядок преобразования соблюдается только на томах 
FAT. На томах NTFS формируется новое короткое имя файла примерно так, 
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как показано на рисунке. Если в русском имени файла есть хотя бы одно 
английское слово, оно будет взято за основу короткого имени, если нет — 
короткое имя будет сформировано на основе составляющих имя кодов 
UNICODE. 


В Windows МТ версии 4.0 можно указать в реестре допустимость ис- 
пользования расширенных (читай национальных) символов в корот- 
ких именах файлов. Для этого можно воспользоваться либо редакто- 
ром системной политики (System policy editor), либо ввести новое 
значение непосредственно. При этом следует помнить, что для клиен- 
тов, на которых не установлена соответствующая кодовая страница 
такие файлы будут недоступны. Так, например, если у Вас имеются 
MS-DOS клиенты, на которых используется русификатор, не устанав- 
ливающий 866 кодовую страницу, они не увядят правильных русских 
имен файлов на сервере и не смогут их открыть. 


ЖЖ АХ] 


Ветвь: HKEY LOCAL MACHINE 

Ключ: SYSTEM\CurrentControlSet\Control\FileSystem 
Имя: NtfsAllowExtendedCharacterIn8Dot3Name 
Значение: 1 

Тип: DWORD 


‘ Длинное имя файла 1.растр 1Е044^1 
№ Длинное имя файла 2.растр ДЛИННО”2.РАС | Длинное имя файла 2.растр 2Е244^1 
№ Длинное имя файла З.растр ДЛИННО”З.РАС | Длинное имя файла 3.pactp 3Е444^1 
ie Длинное имя файла 4.pactp ДЛИННО^4.РАС | 4Е644^1 


С? Длинное имя файла 5.растр ДЛЕВ44^5.РАС | 5E844~1 
[)) Длинное имя patinapacrp  ДЛ528С^5.РАС ILL 

|| Long File Name 1. bitmap LONGFI~1.BIT | | Long File Name 1.bitmap LONGFI~2.B1T 
[} Long File Name 2.bitmap LONGFI~2.BIT Ht | |_) Long File Name 2 bitmap LONGFI~3.BIT 
i Long File Name 3. bitmap -LONGFI~3.BIT | Long File Name 3. bitmap LONGFI~4.BIT 

№ Long File Name 4. bitmap LONGFI~4.BIT Е Long File Name 4. bitmap LOIAAD~5.BIT 
№ Long File Name 5. bitmap LOTAAA~5. BIT Long File Name 5.bitmap LOIASA~5. BIT 
№ Long File Name. bitmap LO1646~5. BIT Long File Name.bitmap LONGFI~1.BIT 


Преобразование длинных имен файлов в короткие на FAT (слева) и NIFS. 


Длинное имя файла теряется при сохранении приложениями MS-DOS или 
Windows 3.x на том NTFS, если приложение сохраняет временный файл, 
удаляет первоначальный файл и переименовывает временный файл в файл 
с первоначальным именем. Теряется и любой уникальный набор расшире- 
ний файла. Права передаются заново из родительского каталога. 
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Внимание: В версии Windows МТ Server 3.51 есть ошибка, связанная с созда- 
нием и модификацией длинных русских имен файлов и каталогов. При по- 
пытке модификации или удаления такого файла с рабочей станции (неваж- 
но, какой именно — Windows МТ Workstation 3.51 или Windows 95) файл не 
удаляется, а переносится в корневой каталог с потерей первой буквы в на- 
звании и преобразовании всех букв в имени в буквы верхнего регистра! 
Поэтому настоятельно не советую создавать файлы и каталоги с длинными 
русскими именами. Эта ошибка исправлена только в версии 4.0. 


Компрессия файлов и каталогов 


Особенностью NTFS является возможность динамического сжатия файлов и 
каталогов. Тот, кто работал с MS-DOS наверняка использовал утилиты дина- 
мического сжатия дисков Drivespace или Stack. Грубо говоря, компрессия Ha 
NTFS предлагает то же самое. Однако в отличие от упомянутых утилит в 
Windows МТ компрессия возможна как для отдельных каталогов, так и фай- 
лов на диске. Сжатие является новым атрибутом файла или каталога, и, по- 
добно любому атрибуту, он может быть снят или установлен в любой мо- 
мент времени. 


Замечание: Сжатие возможно только на разделах, размер блока которых не 
превышает 4 096 байтов. Для установки размера блока используется команда 
FORMAT /А:размер. 


Если каталог имеет атрибут Compressed, то все файлы, копируемые в этот 
каталог, также получат этот атрибут. Чтобы вновь создаваемый раздел диска 
автоматически сжимал все создаваемые и копируемые файлы, его надо от- 
форматировать с ключом /С, те. FORMAT диск: /С /FS:NTFS. 


Для сжатия существующего файла или каталога используется либо команда 
Compress, либо Properties в File Manager. Все сжатые файлы и каталоги 
отображаются в File Manager синим цветом. 
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В Windows МТ 4.0 атрибуты файлов назначаются либо через File Мапа- 
ger, либо через Explorer вызовом диалогового окна File Properties. 


Диалоговое окно File Properties. 


По умолчанию сжатые файлы не выделяются при просмотре папок 
другим цветом. Если Вы хотите видеть эту разницу, отметьте соответ- 
ствующий флажок в окне настроек View Options. 


эооооо оо ооо ооо ооо оо ооо ооо оо ооо ооо ооо ооо ооо ооо 


Степень сжатия файлов зависит от типа файла. Наиболее эффективно при- 
менять этот атрибут к файлам документов Microsoft Word, PowerPoint, гра- 
фическим файлам и т.п. Организуя файл-сервер, имеет смысл сжать все пер- 
сональные каталоги пользователей. С другой стороны, совершенно неэф- 
фективно сжимать каталоги, содержащие дистрибутивы программных про- 
дуктов. Это не даст абсолютно никакого выигрыша, так как они, как правило, 
достаточно сжаты. р 
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Создание и модификация разделов диска 


Работая с другими операционными системами (например MS-DOS или 
Windows 95), Вы использовали программу FDISK для модификации разде- 
лов диска и команду ЕОКМАТ для их форматирования. Начиная работать в 
Windows NT, Вы, естественно, твердо убеждены в том, что: 


а) эти команды должны существовать в Windows МТ; 


6) изменение формата раздела диска возможно только командой FORMAT с 
полной потерей данных находящихся на форматируемом диске. 


Первая же попытка запустить FDISK заканчивается неудачей: подобной ути- 
литы не существует. Особо пытливые загружают с дискеты MS-DOS и запус- 
кают эту утилиту из него. К их удивлению, МТЕб5-разделы не поддаются 
уничтожению! Что делать? Ответ один — запустить административную про- 
грамму Disk Administrator, имеющую графический интерфейс и позволя- 
ющую манипулировать разделами диска. 


Н: 


| ACTIVEX 
| CDFS 
| 405 МВ 


Окно программы Disk Administrator. 


С помощью администратора дисков можно не только изменить разбиение 
физического диска на разделы, но и изменить их формат, присвоить иную 
букву для диска, объединять несколько разделов в один логический том, а 
также использовать механизмы повышенной надежности работы с диском, 
описанные в главе Обеспечение отказоустойчивости. 
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We 


В отличие от команды FDISK команда FORMAT по-прежнему присутствует в 
системе, но содержит ряд дополнительных ключей: 


FORMAT drive: [/V:label] [/Q] [/T:tracks /N:sectors] 
FORMAT drive: [/V:label] [/Q] [/1] [/4] 
FORMAT drive: [/Q] [/1] [/4] [/8] 


/FS:file-system Specifies the type of the file system (FAT or NTFS). 


/V: label Specifies the volume label. 

/Q Performs a quick format. 

IG Files created on the new volume will be compressed by 
default. 

/A:size Overrides the default allocation unit size. Default 


settings are strongly recommended for general use. 
NTFS supports 512, 1024, 2048, 4096, 8192, 16K, 32K, 64K. 
FAT supports 8192, 16K, 32K, 64K, 128K, 256K. 
NTFS compression is not supported for allocation unit 
Sizes above 4096. 


/F:size Specifies the size of the floppy disk to format (160, 
180, 920, 3800, 720, 1.2, 1.44, 2.68, OF 20.6). 

/T: tracks Specifies the number of tracks per disk side. 

/N: sectors Specifies the number of sectors per track. 

/1 Formats a single side of a floppy disk. 

/4 Formats а 5.25-inch 360K floppy disk in а 
high-density drive. 

/8 Formats eight sectors per track. 


Так, в частности, можно форматировать дискеты объемом до 20,8 Мбайт, 
указывать тип файловой системы, размер блока на диске, что важно с точки 
зрения оптимизации производительности файл-сервера. 


Команда FORMAT — самое универсальное средство форматирования — до- 
ступна всегда. Если выбранный для форматирования диск не может быть 
отформатирован в данный момент по какой-либо причине, эта операция 
будет перенесена на момент перезагрузки системы. 


Как уже говорилось, для форматирования дисков можно также использовать 
и администратор дисков, а для форматирования дискет — File Manager. 


В Windows МТ 4.0 щелчок правой кнопкой мыши названия диска в Win- 
dows NT Explorer с последующим выбором в меню команды Format 
приводит к запуску графической программы форматирования дис- 
ков, более удобной для начинающих администраторов. 
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755 Megabytes: 


ооо ооо. ооо о о ооо ооо оо ee eed & 


Графическая программа форматирования. 


Преобразование существующего раздела 
в формат МТЕ$ 


Случается, что спустя некоторое время после установки сервера, его полной 
конфигурации и введения в рабочий режим администратор спохватывается 
и решает преобразовать формат диска, на котором располагаются каталоги 
пользователей (или иные важные данные) в NTFS для обеспечения более 
высокой степени защиты. К сожалению незнание того, что в системе суще- 
ствует команда CONVERT, вынуждает его долго тянуть с этим мероприяти- 
ем, так как он уверен, что без потери данных или выполнения полного ре- 
зервного копирования с последующим восстановлением здесь не обойтись. 


Но стоит только запустить команду СОМУЕКТ, чтобы узнать, что она позво- 
ляет преобразовать разделы FAT или HPFS в раздел NTFS без потери данных! 
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CONVERT drive: /FS:NTFS [/\] 


drive Specifies the drive to convert to NTFS. Note that 
you cannot convert the current drive. 

JFES:NIFS Specifies to convert the volume to NTFS. 

/\ Specifies that Convert should be run in verbose mode. 


Главное помните о невозможности преобразования активного раздела. В 
этом случае система может отсрочить выполнение преобразования до сле- 
дующей перезагрузки операционной системы. 


Права на доступ к файлам и каталогам. 
Понятие владельца 


Права на доступ к файлам и каталогам определяют, может ли пользователь 
осуществлять к ним доступ и, если да, — как. Владение файлом или катало- 
гом позволяет пользователю изменять права на доступ к нему. Владельцем- 
файла или каталога является его создатель. Администратор может вступить 
во владение файлом или каталогом без согласия владельца, но не может 
передать его обратно во владение прежнему владельцу. Чтобы передать вла- 
дение файлом, администратор должен зарегистрироваться под именем дру- 
гого пользователя и взять файл во владение. 


Права на доступ к файлам и каталогам кумулятивны. Исключение составляет 
No Access (нет доступа), имеющее превосходство над остальными. Допус- 
тим, Саша имеет доступ к файлу FILE] только на чтение. Одновременно он 
входит в группу Инженеры, обладающую правом изменения (Change) фай- 
ла FILE1. Значит, Саша может как читать, так и изменять файл FILE]. Если бы 
он был членом группы Бухгалтерия, не имеющей доступа к файлу, Саша 
тоже не имел бы доступа к этому файлу. 


Предоставление прав на доступ к файлам и каталогам — основа защиты в 
Windows МТ, управляемой пользователями. Права устанавливаются через 
меню Security в File Manager. 


В Windows МТ 4.0 доступ ко всем диалоговым окнам, управляющим пра- 
вами доступа, может осуществляться непосредственно из окон, соответ- 
ствующим папкам, или из Windows NT Explorer. Для этого щелкните 
правой кнопкой мыши имя нужного файла или папки и в меню выбери- 
те пункт Properties. В появившемся диалоговом окне выберите вкладку 
Security. 
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| Test Properties 


ФФ ооо ооо ооо во оо Oe Gd &@ & € 


Диалоговое окно File Properties. 


Предоставление прав на доступ к файлам 


Чтобы ограничить доступ к файлу на разделе NTFS, его нужно выделить и 
в меню Sequrity выбрать команду Permissions или щелкнуть кнопку на па- 
нели инструментов с изображением ключа. На экране появится диалоговое 
окно с элементами File, Owner, Мате и Type of Access. Внизу также имеется 
ряд кнопок для добавления или исключения пользователей из списка доступа. 


¢ В Windows МТ 4.0 в диалоговом окне File Properties выберите вставку 
® ИЕ 

» Security и "нажмите" кнопку Permissions. После этого появится опи- 
® санное ниже диалоговое окно. 


File Permissions 


File: D:\win32app\Ji aunnoe имя файла 1.растр 

Оитег: Administrators 

Name: 

& Admuirustrators Full Control [All] 
Read (RX) 


&@ Server Operators Full Control (All) 
4 SYSTEM Full Control (All 


Type of Access: |Full Control |+ 


Диалоговое окно File Permissions. 
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File 


Опция File отображает имя логического устройства, каталог NTFS и имя 
файла, к которому будут применены ограничения на доступ. Это именно 
тот файл, который был выделен в File Manager. Одновременно можно вы- 
делить несколько файлов. 


Owner 


Опция Owner (владелец) показывает текущего владельца файла. Данное диа- 
логовое окно не позволяет изменить владельца. Для этого служит команда 
Owner из меню Security в File Manager. Чтобы изменить права на доступ 
к файлу, пользователь должен быть владельцем файла. 


Name 


В списке Name (имя) выводятся имена пользователей и групп, имеющих 
доступ к файлу, и тип доступа. Изначально права доступа наследуются от 
каталога, в котором расположен файл. Если одновременно выделено не- 
сколько файлов, отображаются права на доступ, общие для всех файлов. 
Права доступа делятся на две группы: права на каталог и права на файлы в 
каталоге. Например, установка Add и Read для каталога назначит права до- 
ступа к каталогу (RWX) — чтение, запись и исполнение; файл в этом катало- 
ге получит права доступа (RX), те. только чтение и исполнение. В таблице 
перечислены сокращения для разных типов доступа. 


Право доступа Сокращение 
Read (чтение) 

Delete (удаление) 

Write (запись) 

Change Permission (изменение прав) 


Execute (исполнение) 


Ox чат 


Take Ownership (вступление во владение) 


Type of Access 


В этом списке можно выбрать основные типы доступа к фалам и связанные 
с ними действия над файлами. В таблице показаны типы доступа и опера- 
ции над файлами. 
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® — разрешено № Access Read Change Full Control 
Показывать данные файла @ @ # 
Показывать атрибуты файла & ® ® 
Исполнять файл, если это ® ® ® 
программа 

Показывать владельца файла e ® ae 
и типы доступа 

Изменять атрибуты файла ® % 
Изменять и добавлять данные ® ® 
в файл 

Удалить файл ® ® 
Изменять владельца файла ® 


и права доступа 


В списке доступа имеется элемент Special Access (Специальный доступ). 
Выбрав его, Вы выведите на экран диалоговое окно Special Access с флаж- 
ками, позволяющими установить специальный вид доступа. 


Special Access 


File: D:\users\fyodorz\? egop. doc 


Name: __sonikitaz (Nikita Zharinov) 
© Full Control (All) 
Other 
Н Read (В) 
Н Write №) 


C] Execute (Х) 

L] Delete (0) 

(_] Change Permissions (Р) 
[С] Take Ownership (0) 


Диалоговое окно Special Access. 


Специальный вид доступа можно установить для любого файла или группы 
файлов. В приведенной ниже таблице перечислены специальные виды до- 
ступа и связанные с ними действия. 
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л 
|=. |=? 
= [9 Е В 
7) re 
а © 5 2 eos 
<< Sox 2 
bx) woos 
2 A оно 
Показывать владельца файла и права доступа уу, 
Показывать данные в файле У 
Показывать атрибуты файла “ У 
Изменять атрибуты файла У 
Изменять и добавлять данные к файлу vv 
Выполнять файл, если STO программа ый 
Удалять файл у 
Изменять права доступа к файлу и 
Вступать во владение файлом у 


Кстати: Опишем ситуацию, таящую в себе болыпую опасность. Существует 
вероятность того, что администратор системы в порыве рвения “за полную 
защищенность” захочет запретить всем (Everyone) доступ к системным фай- 
лам. (Напомню: запрещение доступа группе Еуегуопе означает запрещение 
доступа учетной записи SYSTEM, под которой действует операционная сис- 
тема.) Система сообщит о тяжелых последствиях такой операции, однако 
администратор все-таки может установить запрет доступа. И тогда в следую- 
щий раз операционная система не загрузится. Чтобы восстановить работоспо- 
собность, выполните процедуру Repair и воспользуйтесь Emergency Repair 
Disk (см. раздел Emergency Repair Disk). 


Предоставление прав на доступ к каталогам 


Для ограничения доступа к каталогу на разделе NTFS выделите его и выбе- 
pute команду Permissions в меню Sequrity или щелкните на панели инст- 
рументов кнопку с изображением ключа. 
В Windows МТ 4.0 в диалоговом окне File Properties выберите вкладку 
Security и “нажмите” кнопку Permissions. 
На экране появится диалоговое окно Directory Permissions с элементами 
Directory, Owner, Replace Permissions оп Subdirectories, Replace Per- 


missions on Existing Files, Name и Туре of Access. Кнопки внизу позволя- 
ют добавлять или исключать пользователей из списка доступа. 
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Directory Permissions 


Directory: D-:\win32app 
Owner: Administrators 


J Replace Permissions on Subdirectories 


М Replace Permissions on Existing Files 
Name: 
of Administrators Full Control (All) [АЙ 


CREATOR OWNER Full Control (All) (All) 
(9) Everyone Read (АХ) (АХ) 
aise Server Operators Full Control (All) (All) 
Qe SYSTEM Full Control (All) (All) 


Диалоговое окно Directory Permissions. 
Directory 


Опция Directory отображает имя логического устройства и каталог NTFS, к 
которому будут применены ограничения на доступ. Это именно тот ката- 
лог, который был выделен в Ейе Мапазег. Одновременно можно выделить 
несколько каталогов. 


Owner 


Опция Owner (владелец) показывает текущего владельца каталога. Это ди- 
алоговое окно не позволяет изменить владельца. Для этого выберите коман- 
ду Owner в меню Security в File Manager. Чтобы изменять права на доступ 
к каталогу, пользователь должен быть владельцем каталога. 


Replace Permissions оп Subdirectories 


Если пользователь хочет изменить права только на выбранный каталог и 
файлы в нем, то этот флажок помечать не надо. А если те же права доступа 
надо применить ко всем вложенным каталогам, пометьте его. По умолчанию 
он не помечен. 


Replace Permissions оп Existing Files 


Эта опция позволяет изменять права на доступ одновременно к каталогу и 
файлам, находящимся в нем. По умолчанию флажок помечен. 


Name 


В списке Мате (имя) отображаются имена пользователей и групп, имею- 
щих доступ к каталогу, и тип доступа. Администратор может добавлять 
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новых пользователей или группы в список, используя кнопки Add (Добл- 
вить) или Remove (Убрать). 


Type of Access 


В этом списке приведены все возможные права на доступ. В следующих 
таблицах перечислены права на доступ к каталогам и связанные с ними 
действия, применимые к каталогам и файлам. 


Права доступа к каталогам и действия над каталогами 


No Access 
Add&Read 
Change 

Full Control 


Показывать имена каталогов уу 
Показывать атрибуты каталогов уу 
Переходить в подкаталоги уу 
Изменять атрибуты каталога 

Создавать подкаталоги и добавлять файлы 


о. & NS % 
~ —& & в SS 


Показывать владельца каталога и права доступа уу 
Удалять каталог 


о SAN NS SN 


Удалять любой файл или пустой подкаталог 
в каталоге 
Вступать во владение каталогом 


~,%% BA В В HR % 


Изменить права доступа к каталогу 


Права доступа к каталогам и действия над файлами 


No Access 
List 

Read 

Add 

Add& Read 
Change 

Full Control 


Показывать владельца файла и права доступа 
Показывать данные в файле 
Показывать атрибуты файла 


<, << 
~ % 4 & 


Изменять атрибуты файла 

Изменять и добавлять данные к файлу 
Выполнять файл, если это программа 
Удалять файл 

Изменять права доступа к файлу 
Вступать во владение файлом 


< <<< <<< 
eee Ke RR KR E 
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В дополнение к этим стандартным типам доступа можно выбрать в списке 
пункты Special Directory Access (Особый доступ к каталогу) и Special File 
Access (Особый доступ к файлу). Выбор последнего выводит диалоговое 
окно Special Directory Access. 


Special Directory Access 


Directory: D-:\win32app 
Name: Administrators 
®) Full Control (All) 
\ Other 

LC Read (В) 

LJ Write (W) 


[] Execute (x) 

L] Delete (0) 

(_] Change Permissions (P) 
[_] Take Ownership (0) 


Диалоговое окно Special Directory Access. 


Особые права доступа можно установить как Ha целый каталог, так и на 
отдельные файлы в нем. В таблице перечислены особые права доступа к 
каталогам и связанные с ними действия над каталогами. 


i?) — 
< в 
ise SH 

QE Oo 5 СЕ ye О 

ыы а а 2 = 

= кю м оз =. 

нь ооо 

Показывать имена файлов в каталоге у У 
Показывать атрибуты каталогов У У У 
Добавлять файлы и подкаталоги У у 
Изменять атрибуты каталога у 
Переходить в подкаталоги У У 
Показывать владельца каталога и права доступ ууу У 
Удалять каталог У ыа 
Изменять права на доступ к каталогом У У 
Вступать во владение каталогомъ vw и 
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Отмечу некоторые уникальные ситуации: 


> Существуют случаи, когда права на доступ к каталогу для пользователя 
или группы не передаются в подкаталоги. Это происходит, когда права 
предоставлены через группу Creator Owner. Права доступа, которые не 
будут унаследованы подкаталогами, отмечаются звездочкой. 


> Для некоторых прав доступа к каталогу устанавливается право доступа к 
файлам Not Specified (не указаны). Когда доступ к файлам, предоставленный 
пользователю или группе, не указан, группа или пользователь не могут ис- 
пользовать файлы в каталоге, пока им не будут предоставлены права други- 
ми средствами, например, путем назначения прав доступа к отдельным 
файлам. 


» Устанавливая права на доступ к каталогу, через специальную группу Cre- 
ator Owner можно предоставить доступ только к тем файлам и подката- 
логам, что были созданы пользователями внутри этого каталога. Права, 
установленные для Creator Owner, передаются пользователю, создающе- 
му файлы и подкаталоги внутри каталога. Например, для каталога назна- 
чен доступ Add&Read для группы Everyone и Change — для группы 
Creator Owner. Если Дима добавит файлы в каталог, он сможет изменять 
и удалять их, в то время как остальные смогут их только просматривать. 


Владение каталогами и файлами 


По умолчанию создатель каталога или файла является его владельцем. 
Нельзя передать файл или каталог кому-либо во владение, однако владелец 
файла может предоставить кому-либо право вступить во владение. У адми- 
нистраторов всегда есть возможность вступить во владение файлом или 
каталогом. Файл или каталог всегда находятся под контролем его владельца, 
который может менять права на доступ. Чтобы узнать владельца файла или 
каталога, применяется команда Owners File Manager. 


В Windows МТ 4.0 в диалоговом окне File Properties выберите вкладку 
Security и "нажмите" кнопку Owner. 


В появляющемся диалоговом окне отображаются имя выбранного файла или 
каталога, текущий владелец и кнопка Take Ownership, позволяющая всту- 
пить во владение при наличии соответствующих прав. 


Directory Name: D:\win32app\win32app 


Owner: Administrators 


Диалоговое окно Owner. 
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Правами, предоставляющими возможность вступать во владение, являются: 


» Full Access; 
> Special Access, включающий Take Ownership; 


» Административные права. 


Стратегия предоставления прав 
на доступ 


Права на доступ следует предоставлять только группам, а не отдельным 
пользователям. Предоставление прав группам упрощает управление серве- 
ром. Если нескольким пользователям нужен определенный тип доступа, их 
объединяют в группу и предоставляют права этой группе. 


Рассмотрим пример. Допустим, имеется каталог DIR1, а в нем несколько под- 
каталогов SUBDIR1..SUBDIRN. Дима, Саша, Катя и Ира должны иметь доступ 
только на чтение к каталогу DIR1 и всем его подкаталогам, а Денис — еще и 
на запись к подкаталогу SUBDIR2. Можно, конечно, каждому из перечислен- 
ных пользователей предоставить необходимые права доступа. Но тогда 
дальнейшее администрирование будет затруднено. Чтобы, скажем, предос- 
тавить доступ ко всем каталогам только на чтение еще и Юре, придется 
выполнять эту операцию для каждого из подкаталогов в отдельности: ведь, 
отметив флажок Replace Permissions оп Subdirectories при назначении 
прав доступа к каталогу DIR1, мы лишим Дениса возможности записи в ка- 
талог SUBDIR2. 


Дима, 


Юра 
Саш р 
Катя, 


Иса 


Дима, 
Cawa, 
Karta, 
Ира 


Дима, 
Саша, 
Котя, 

Ира 


Димо, 
Саию, 
Катя, 
Ира 


Кроме того, если даже ко всем вложенным подкаталогам применимы одни 
и те же права доступа, предоставление прав новому пользователю может 
стать весьма длительной операцией при большом количестве файлов в под- 
каталогах. Группы значительно облегчают эту задачу. Создавая структуру 
каталогов, стоит заранее подумать о правах доступа к ней и сформировать 
группы пользователей. Применительно к рассмотренному выше примеру 
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достаточно иметь всего 2 группы, например RDONLYDIR — для пользовате- 
лей с правом доступа только на чтение и WONLYDIR — для имеющих право 
записи. И тогда предоставление Юре доступа на чтение всех подкаталогов 
сведется к его включению в группу RDONLYDIR. 


RDONLYDIR 


SUBDIR2 | fs ‘ 
SUBDIRN 


Использование прав на доступ 
на разделах FAT и HPFS 


На томах с FAT или HPFS нет возможности назначить права доступа к OT- 
дельным файлам или каталогам. Единственная возможность ограничить 
доступ — ограничение доступа к каталогам, предоставляемым в совместное 
использование в сети. В этом случае ограничения распространяются только 
на пользователей, осуществляющих доступ к предоставляемому ресурсу по 
сети. При этом существует четыре вида доступа: Full Control of Files/Direc- 
tories (полный контроль над файлами или каталогами), Change Files/Di- 
rectories (изменение файлов или каталогов), Read Files/Directories (чте- 
ние файлов или каталогов) и № Access to Files/Directories (отсутствие 
доступа к файлам или каталогам). 


Нет необходимости указывать № Access для всех пользователей, которым 
запрещен доступ к каталогу. Непредоставление пользователю или группе, к 
которой он принадлежит, прав доступа эквивалентно запрету на доступ. No 
Access применяется, когда пользователи или группы могут получить доступ 
к каталогу другими средствами. Например, можно разрешить доступ к сов- 
местно используемому каталогу всем, кроме группы Бухгалтерия, предоста- 
вив группе Everyone полный доступ (Full Control), а группе Бухгалтерия — 
№ Ассе$$. 


File Delete child 


Право доступа Full Control включает в себя “скрытое” право — FDC (File Dele- 
te child). Все пользователи, обладающие правом доступа к каталогу Full Cont- 
rol, могут удалять файлы в корне каталога. Единственный способ запре- 
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тить данную возможность — предоставить особый доступ (Special Access) 
вместо полного доступа к каталогам. 


FDC можно рассматривать как выделенный, но скрытый дополнительный фла- 
жок в диалоговом окне Special Directory Access, который отмечается при вы- 
6ope Full Control. 


Право FDC включено для совместимости с POSIX. Согласно спецификациям 
POSIX, пользователь, имеющий право записи в каталог должен обладать воз- 
можностью удаления файлов в каталоге независимо от прав, назначенных 
для этих файлов. Это применимо только к файлам, находящимся в каталоге, 
но не в подкаталогах. 


Совместное использование в сети 


Защита каталогов, предоставляемых в совместное использование, состоит 
из двух уровней: сетевого (доступ к совместно используемым каталогам) и 
локального (доступ к файлам и каталогам, расположенным на томе NTFS). 


Защита предоставляемых для совместного 
использования каталогов на томах FAT или HPFS 


Файловые системы FAT и HPFS не предоставляют возможностей локальной 
защиты, и поэтому защита каталогов на них доступна только на сетевом 
уровне. 


Совместно 
используемое имя 


Группа пользователя: 
Read 


Отсутствие 
ACL 


Пользователь: 
Change 


se 


FAT/HPFS 


Everyone: 
Full Control 


Игровые права доступа 


Full Ful | | 
Control Controll 


Ограничение доступа — FAT/HPFS. 
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Защита предоставляемых для совместного 
использования каталогов на томах NTFS 


На томах NTFS локальная защита возможна. Поэтому удаленный пользова- 
тель получает права доступа, являющиеся комбинацией прав на доступ к 
совместно используемым ресурсам и локальных ограничений NTFS. 


Если удаленному пользователю необходимо записывать в файлы или уда- 
лять файлы, расположенные на разделе NTFS, то и локальные ограничения, 
и ограничения на совместное использование должны позволять это. Напри- 
мер, Оля имеет права доступа к совместно используемому каталогу типа 
Change. Однако локально для нее назначены права Read и Execute. Значит, 
Оля может только читать и исполнять файлы, но не писать в них или уда- 
ЛЯТЬ. 


Когда сетевой администратор создает новый подкаталог на NTFS, группа 
Everyone автоматически получает на него право Full Control. Это делает 
новый ресурс равным по доступу ресурсу, расположенному на разделе ЕАТ 
или HPFS. Поэтому администратору лучше, исключив группу Everyone из 
списка доступа к ресурсу, создать вместо нее конкретные группы с опреде- 
ленными правами. 


Совместно 
используемое имя 


ACL ACL 
einen eee ee ae « 
Группа пользователя: Г группа пользователя: 
Read | Read 


| 


Пользователь: 


Change Execute 


NTFS 


Everyone: 
Read 


Everyone. 
Full Control 


: 
| 


5: Игровые права доступа 
NTFS 


_ | 
Read, Execute (RX) 


Игровые прова доступа 


Change (RWX) 


Ограничение доступа — NTFS. 
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Предоставление файлов и каталогов 
в совместное использование 


Предоставление файлов и каталогов в совместное использование в сети вы- 
полняется в File Manager командами меню Disk. Каталог можно предоста- 
вить в совместное использование независимо от того, на каком разделе 
диска он расположен — FAT, HPFS или NTFS. Чтобы предоставлять каталоги 
в совместное использование, пользователь должен быть зарегистрирован 
как член группы Administrators или Server Operators. Команда Share As в 
меню Disk выводит диалоговое окно New Share, описание элементов KOTO- 
рого приведено ниже. 


New Share. 


Share Мате: |My_Docs| 
Path: D:\My Documents 


Comment: Directory with Fyodor's documents 


User Limit: 
®) Maximum Allowed 


O Alon User 


Диалоговое окно New Share. 


В Windows NT 4.0 для предоставления каталога в совместное исполь- 
зование необходимо, щелкнув его имя правой кнопкой мыши, выб- 
рать в меню команду Sharing. Вслед за этим сразу появится диалого- 
вое окно File Properties с активной вкладкой Sharing. 
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ЖИВЯ. 


Диалоговое окно Directory Properties с активной вкладкой Sharing. 
Share Name 


Показывает имя, которое должны указывать пользователи для подключения 
к совместно используемому ресурсу. По умолчанию File Manager использу- 
ет имя каталога, однако не стоит забывать, что не все имена доступны для 
пользователей, подключенных по сети и работающих под MS-DOS. Если 
введенное Вами имя не соответствует этим требованиям, появится соответ- 
ствующее предупреждение. 


Path 
Показывает путь к каталогу, предоставляемому в совместное использование. 
Comments 


В это поле можно ввести комментарий. Основное назначение — информа- 
ционное. Комментарии помогут удаленным клиентам легче ориентировать- 
ся при просмотре доступных ресурсов. 


User Limit 


Позволяет установить ограничение на максимальное число пользователей, 
осуществляющих одновременный доступ к ресурсу. По умолчанию ограни- 
чения не накладываются. 
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Permissions 


Кнопка Permissions выводит диалоговое окно Access Through Share Permis- 
sions. В нем показаны имя предоставляемого ресурса, его владелец и список 
пользователей и групп с указанием прав доступа к ресурсу. Кнопками Add и 
Remove можно добавлять новых пользователей или исключать имеющихся. 
Тип доступа выбирается из списка Type of Access. 


Access Through Share Permissions 


Access Through Share: My Docs 
Owner: 
Мате: 


| Administrators Full Control 


# рии [Рип Tomashko} Read 


Туре of Access: [Read С 


Диалоговое окно Access Through Share Permissions. 


В таблице показаны основные права доступа, предоставляемые в диалого- 
вом окне Access Through Share Permissions, и соответствующие им дей- 
ствия над файлами и каталогами. 
Full 
NoAccess Read Change _ Control 
Показ имен файлов и подкаталогов ® 


® 
Показ данных в файлах и их атрибутов ® ® 
Выполнение программ ® 
Переход в подкаталоги ® 
Создание подкаталогов и файлов 

Изменять и добавлять данные в файлы 8 
Изменять атрибуты файла 

Удалять файл и подкаталоги 


Изменять права доступа (только на NTFS) 


Вступать во владение (только на NTFS) 
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При этом помните, что, кроме прав, предоставленных для совместно ис- 
пользуемого каталога, активными остаются права на доступ к файлам и ка- 
талогам на томе МТЕ$. 


Для эффективного администрирования ресурсов, предоставляемых для со- 
вместного использования, надо помнить о некоторых особенностях: 


> Права доступа, установленные для совместно используемого ресурса, при- 
менимы к каталогу, подкаталогам и всем файлам в каталоге. 


> Windows МТ автоматически создает совместно используемые ресурсы для 
административного и системного использования. Сразу после старта 
Windows МТ в совместное использование администраторами предостав- 
ляются корневые каталоги всех дисков и системный каталог, например 
C:\\WINNT35. Имя ресурса для диска состоит из буквы, присвоенной дис- 
ку, и знака доллара (например, C$). Для системного каталога имя ресурса 
ADMIN$. Кроме того, создается совместно используемый ресурс МЕТ- 
LOGON, указывающий на тот каталог, где находятся файлы сценариев 
регистрации. По умолчанию это каталог: 


«системный Katanor>\SYSTEM32\REPL\IMPORT\SCRIPTS 


Еще одним совместно используемым административным ресурсом явля- 
ется REPL$, используемый службой тиражирования. Он указывает на KaTa- 
nor: 


«системный Katanor>\SYSTEM32\REPL\EXPORT 


К административным ресурсам могут подключаться только члены групп 
Administrators, Server Operators или Backup Operators. Только члены груп- 
пы Administrators могут изменять свойства этих ресурсов. 


Повторное предоставление ресурсов 
в совместное использование 


Один и тот же каталог может быть предоставлен в совместное использова- 
ние несколько раз. При этом каждый раз применяется новое имя ресурса и 
можно указать другие права доступа для других групп пользователей. 


Для повторного предоставления каталога выделите его в File Manager и 
выберите команду Share As в меню Disk. В появившемся диалоговом окне 
Shared Directory можно изменить права доступа к существующему ресурсу 
или создать новый. 
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Shared Directory 


Share Name: ЕАО + 


Path: D:\My Documents 


Comment: Directory with Fyodor's documents 


User Limtt: 
@ Maximum Allowed 


O Alon User 


Диалоговое окно Shared Directory. 
Новый совместно используемый ресурс создается щелчком кнопки New Share. 


В Windows МТ 4.0 для повторного предоставления каталога в совместное 
использование, щелкнув его имя правой кнопкой мыши, выберите в 
меню команду Sharing. В появившемся диалоговом окне File Properties 
с активной вкладкой Sharing будет указано имя, под которым данный 
каталог уже предоставлен в совместное использование. 


ЗИ 


Просмотр предоставленных ресурсов 
и отмена совместного использования 


Любой член группы Administrators или Server Operators имеет возможность 
просмотра ресурсов и отмены их совместного использования. Эта функция 
возможна при выборе команды Stop Sharing Directory в меню Disk в File 
Manager. 


Stop Sharing Directory 


Shared Directories on \ANTFYODORZ_SMS: 


C:\demofile 
C:\Exchange 


0:\1386 

Cbd боситенЕ 

D:\WINNT 35\system32\Repl\import\S cripts 
dag 

C:ANWCLIENT 


Диалоговое окно Stop Sharing Directory. 
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В этом диалоговом окне показано имя компьютера, перечислены имена ресур- 
сов и полные пути к ним. Для прекращения совместного использования ресур- 
сов выделите их в списке и нажмите кнопку ОК. Если в этот момент ресурс 
используется сетевым клиентом, File Manager выведет соответствующее пре- 


дупреждение. 


Некоторые ресурсы в этом списке могут быть показаны блеклыми. Это свя- 
зано с тем, что фактически данный ресурс уже не существует, хотя его имя 
по-прежнему появляется в списке совместно используемых ресурсов для 
сетевых клиентов. Обычно это происходит при удалении каталога, предо- 
ставленного в совместное использование. 


Тиражирование каталогов 


Средства тиражирования позволяют поддерживать идентичность файлов и 
каталогов на нескольких серверах или рабочих станциях. 


Список 
телефонов 


Сценарии 
регистра- 
ции 


Список 


телефонов 
Сценарии 
регистра- 


LUNA 


EES 


Сценаоии 
регистра- 
ции 


Тиражирование сценариев регистрации. 


Данная функция позволяет упростить работу с файлами, а также балансиро- 
вать загрузку между серверами. Разгрузка сервера достигается за счет того, 
что необходимые файлы находятся не на одном сервере. Упрощение рабо- 
ты с файлами заключается в автоматическом обновлении файлов на разных 
компьютерах. 


Windows МТ Workstation может только импортировать данные, а Windows 
МТ 5егуег — и импортировать, и экспортировать в процессе тиражирования. 


Процесс тиражирования состоит по крайней мере из двух компонентов: сер- 
вера экспорта и компьютера(ов) импорта. Сервером экспорта может быть 
Windows МТ Server. На этой системе должны содержаться файлы, тиражируе- 
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мые на компьютер импорта. В качестве компьютера импорта могут выступать 
Windows МТ Server, Windows NT Workstation или LAN Manager Server. 


Чтобы тиражирование стало возможным, экспортируемые файлы должны 
храниться в каталоге экспорта, . приниматься компьютерами в каталоги им- 
порта. По умолчанию каталогом экспорта является: 


«системный Katanor>\SYSTEM32\REPL\EXPORT 
Каталогом импорта по умолчанию является: 
«системный KaTanor>\SYSTEM32\REPL\ IMPORT 


Для тиражирования сценариев регистрации, однако, используются специ- 
альные каталоги. Для экспорта это: 


«Системный KaTanor>\SYSTEM32\REPL\EXPORT\SCRIPTS 
a для импорта: 


«системный Katanor>\SYSTEM32\REPL\IMPORT\SCRIPTS 


[=] 


Cepseo импорта 
< системный Ka7aGAOT> \SYSTEM32\ REPL\IMPORT 


Сервео экспорта 
<системный каталог> \ ЗУЗТЕМЗ2 \ REPL ХРОРТ 


< Es he | 
Ceosep импорта 
<системчыйкатолог> \SYSTEM32\ ВЕР! \IMPORT 


Каталоги экспорта и импорта. 


Файловая система NTFS 185 


Конфигурирование компьютеров 
экспорта и импорта 


Прежде чем запустить сервис тиражирования каталогов, необходимо: 


> создать учетную запись для тиражирования; 


> активизировать сервис Directory Replicator. 


Учетной записи, обслуживающей услугу тиражирования, должна быть обеспе- 
чена возможность работы в любое время. Отметьте флажок Password Never 
Expires и сбросьте флажок User Must Change Password At Next Logon. Допол- 
нительно к этому необходимо группе Replicator домена предоставить право 
Log Оп As a Service. Учетная запись должна входить в группы Backup 
Operators, Domain Users и Replicator. 


Необходимо сконфигурировать автоматический запуск сервиса Déirectory 


Replicator, а также его регистрацию на серверах экспорта через созданную 
учетную запись. Это выполняется, например, в программе Server Manager. 


Service 
Service: Directory Replicator 


Startup Type 


© Disabled 


О System Account 


Lj Allow Service to Interact with Desktop 


@ This Account: 
Password: 


Confirm 
Password: 


Диалоговое окно Directory Replicator Service. 
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Компьютер импорта также необходимо сконфигурировать для приема ти- 
ражируемых файлов и каталогов. Для рабочих станций Windows МТ 
Workstation, входящих в доверяющий домен, включите в локальную группу 
Replicator глобальную группу Replicator сервера экспорта, а также предо- 
ставьте локальной группе Replicator привилегии Log On As A Service. Для 
всех систем импорта служба тиражирования должна быть сконфигурирова- 
на на автоматический запуск и регистрацию через учетную запись, создан- 
ную на сервере экспорта. Дополнительно сервер импорта должен быть 
сконфигурирован на прием файлов с других серверов домена. Это выпол- 
няется в программе Server Manager. 


Тиражирование лучше всего выполнять для файлов, используемых только 
для чтения. Любой файл или каталог, расположенный в каталоге импорта и 
модифицированный пользователем, будут переписаны службой тиражиро- 
вания. Примерами файлов, подлежащих тиражированию, являются сцена- 
рии регистрации, профили пользователей, загрузочные файлы клиента 
Systems Management Server. 


Защита тиражирования 


Защита тиражирования устанавливается в Server Manager. В диалоговом 
окне Directory Replication на сервере экспорта пользователь может: 


» определить каталог экспорта; 
» запретить экспорт из каталога; 
» запретить экспорт подкаталога в каталоге; 


> отслеживать дату и время запрета экспорта каталога, 


а в диалоговом окне Directory Replication на сервере импорта: 


указать путь к каталогу, где будут храниться тиражированные файлы; 
определить путь; 
запретить импорт в каталог; 


отслеживать состояние и эффект от обновлений; 


УУУУУ 


отслеживать дату и время обновления файлов в каталоге импорта. 
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Directory Replication оп NTIFYODORZ SMS 
© Do Not Export ® Do Not Import 
© Export Directories Import Directones 
From Path: M anage. 4 То Path. Manag 


35\System32\Repi\E xport 


To List: 


МГАМ.ОЕМО-М 


Logon Script Path: |О:\\АММТ35\зует3 2 чер \Мтро\зспрз 


Диалоговое окно Directory Replication. 


Служба тиражирования может вызвать серьезные нарушения защиты при 
неправильном администрировании. Если тиражирование выполняется на 
компьютер, находящийся в сети, администратор должен быть точно уверен, 
какие группы пользователей имеют доступ к каталогу импорта. Дополни- 
тельно очень важно назначить пароль для учетной записи, используемой 


службой тиражирования. Если пароль не назначить, это может стать путем 
для неавторизованного входа в систему. 


ГЛАВА 6 


Обеспечение 
отказоустойчивости 


Если Вы слепо доверяете надежности “винчестера”, то можете не со- 
мневаться: наступит день, когда Вы об этом пожалеете. У любой меха- 
нической системы (а жесткий диск таковой и является) есть свой 
запас прочности. Что произойдет после выработки ресурса, точно 
никто не скажет, но я ставлю свой ‘ноутбук” против счетных пало- 
чек: самая важная для Вас информация пропадет безвозвратно. В 
Windows NT Server встроены механизмы, обеспечивающие отказоустой- 
чивость системы: средства особо надежной работы с диском, резервно- 
го копирования на магнитную ленту, поддержки работы с источника- 
ми бесперебойного питания, выбор работоспособной конфигурации и 
восстановление системы со специального диска. Однако компьютер 
сам по себе тоже может выйти из строя. Чтобы этот факт не отра- 
зился на Вашей работе, необходимо использовать кластерные решения. 
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Средства повышения надежности 
работы с диском 


Если Вы регулярно пользовались программами вроде CHKDSK или Norton 
disk Doctor, то наверняка знаете, что иногда они обнаруживают на жестких 
дисках “плохие области” (bad blocks), которые помечают как недоступные. 
Причин появления таких областей хватает: от некачественного диска до 
вирусов. Но что бы там ни было, результат всегда один — сокращение до- 
ступного рабочего пространства на диске. Если своевременно не продиаг- 
ностировать диск, последствия могут быть более печальными: Вы потеря- 
ете данные, записанные в поврежденный участок, или еще хуже: операцион- 
ная система станет неработоспособной. Поэтому если в Вашем компьютере 
только один жесткий диск или Вы не используете технологии, описанные 
далее в этой главе, Ваша первейшая обязанность — регулярная проверка 
состояния диска. 


Замечание: Современные компьютерные системы, выпускаемые изве- 
стными производителями техники, зачастую обладают встроенными 
средствами контроля за состоянием дисков и оповещения операци- 
онной системы и администратора о надвигающейся угрозе. Приме- 
ром могут служить компьютеры Compaq Proliant, в которых о пред- 
стоящем крахе диска извещается как операционная система, так и 
оператор — предупреждающим сигналом, посылаемым на пейджер. 


#2eeee?e288 28820 8 


Проверка состояния жесткого диска 


Для проверки состояния жесткого диска используется встроенная утилита 
CHKDSK, запускаемая из командной строки. Для поиска плохих секторов она 
запускается с ключом /R. Эта операция может продолжаться несколько ча- 
сов. Если Вы выполняете эту операцию регулярно, то о наличии сбойных 
секторов можно косвенно судить по резко возросшему времени выполне- 
ния проверки. 


CHKDSK [drive:]{{path]filename] [/F] [/V] [/R] [/L[:size}] 


[drive:] Specifies the drive to check. 

filename specifies the file(s) to check for fragmentation (FAT only). 

/F Fixes errors on the disk. 

/V Displays the full path and name of every file on the disk. 

/R Locates bad sectors and recovers readable information. 

/L:size NTFS only: changes the log file size to the specified 
number of kilobytes. If size is not specified, displays current size 
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Замечание: Если во время работы системы выполнение программы 
CHKDSK невозможно (например, на выбранном диске находится 
файл своппинга), Вам будет предложено перенести ее исполнение на 
момент загрузки системы. В случае Вашего согласия при следующей 
перезагрузке будет выполнена полная проверка диска. 


В Windows МТ 4.0 встроена графическая утилита проверки диска. Для ее 
вызова щелкните правой кнопкой мыши имя диска в папке Мой компь- 
ютер и в появившемся меню выберите команду Properties. В диалого- 
вом окне щелкните вкладку Tools и "нажмите" кнопку Check Now. Для 
полной проверки диска в диалоговом окне Check Disk отметьте оба 
флажка: Automatically fix filesystem errors и Scan for and attempt 
recovery Of bad sectors. 


Диалоговое окно проверки состояния жестких дисков. 
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Чтобы обезопасить себя от неприятностей, связанных с ненадежной работой 
дисковой системы, на сервере необходимо использовать средства, повышаю- 
щие ее надежность. К таким средствам Windows МТ относятся зеркализация 
дисков, дублирование дисков, чередование дисков с контролем четности и 
замена секторов (в “горячем” режиме). 


Технология RAID 
(Избыточный массив недорогих дисков) 


Средства повышения надежности работы с дисками стандартизованы в про- 
мышленности и подразделяются на 7 уровней использования избыточных 
массивов недорогих дисков (RAID). У каждого из уровней свой набор значе- 
ний производительности, надежности и стоимости. В Windows МТ Server 
обеспечивается поддержка RAID уровней 0 — 5. 


Уровни RAID 

Уровень 0 Чередование дисков 

Уровень 1 Зеркализация дисков 

Уровень 2 Чередование дисков с записью кода коррекции 

Уровень 5 Чередование дисков с записью кода коррекции в виде четности 
Уровень 4 Чередование дисков большими блоками с записью четности 


на одном диске 


Уровень 5 Чередование дисков с записью четности на нескольких дисках 


Чередование дисков 


Чередование дисков (RAID 0) обеспечивает чередование между различными 
разделами диска. При этом файл как бы “размазывается” по нескольким фи- 
зическим дискам. Этот метод может увеличить производительность работы 
с диском, особенно когда диски подключены к разным контроллерам дис- 
ков. Так как этот метод не обеспечивает избыточности, его нельзя назвать в 
полной мере RAID. При выходе из строя любого раздела в таком массиве все 
данные будут потеряны. Для реализации метода требуется от 2 до 32 дисков. 
Увеличение производительности достигается только при использовании 
разных контроллеров диска. 


Уровень О — Чередование дисков. 
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Зеркализация и дублирование дисков 


Создание зеркальной копии диска или раздела осуществляется средствами 
ВАШ 1: зеркализацией или дублированием. Зеркальное отражение дисков дей- 
ствует на уровне разделов. Любой раздел, включая загрузочный или систем- 
ный, может быть зеркально отражен. Это простейший метод повышения на- 
дежности работы с диском. Зеркализация — самый дорогой способ обеспе- 
чения надежной работы с дисками, так как при этом задействовано лишь 
50% объема жесткого диска. Однако в большинстве одноранговых или не- 
больших серверных сетях такой способ является самым дешевым за счет ис- 
пользования всего двух дисков. Для обеспечения уровней RAID 3 и выше тре- 
буется не менее 5 жестких дисков. 


Дублирование дисков — зеркализация с применением дополнительного адап- 
тера на вторичном дисководе — обеспечивает отказоустойчивость и при сбое 
контроллера, и при сбое диска. Кроме того, дублирование может повысить 
и производительность. 


Подобно зеркализации, дублирование выполняется на уровне раздела. Для 
Windows МТ нет разницы между зеркализацией и дублированием. Это просто 
вопрос местонахождения другого раздела. 


BBOA/BbIBOA на диск 


Зеркализация дисков. 


При зеркализации системного загрузочного диска администраторы довольно 
часто встречаются с такой ситуацией. При выходе из строя одного из дисков 
принимается решение об эксплуатации системы с одним из оставшихся. При 
этом предполагается, что поскольку этот диск — зеркальная копия, то ника- 
ких дополнительных мер предпринимать не надо — достаточно просто заг- 
рузить компьютер. Вот тут-то и подстерегает одно НО, о которое спотыка- 
ется большинство из тех, кто так попробовал сделать. Если данный раздел 
диска не является активным, загрузка с него невозможна. 


Для активизации раздела воспользуйтесь либо утилитой FDISK любой версии 
MS-DOS (для разделов FAT), либо Disk Administrator. 
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Чередование дисков с записью кода коррекции 


RAID 2 работает так, что при записи на диск блок данных разбивается Ha не- 
сколько частей, каждая из которых записывается на отдельный диск. Одно- 
временно создается код коррекции, который также записывается на разные 
диски. В случае потери данные можно восстановить по коду коррекции с по- 
мощью специального математического алгоритма. 


Этот метод требует на диске больше места для хранения кода коррекции, чем 
хранение информации о четности. В Windows NT Server OH не используется. 


Чередование дисков с записью кода коррекции 
в виде четности 


RAID 3 аналогичен уровню 2 за тем исключением, что код коррекции заменен 
информацией о четности, записываемой на один диск. Дисковое пространство 
используется лучше, чем при уровне 2. В Windows NT Server не применяется. 


Чередование дисков большими блоками. 
Хранение четности на одном диске 


RAID 4 записывает целые блоки данных на каждый диск в массиве. Отдель- 
ный диск используется для хранения информации о четности. Всякий раз 
при записи блока информация о четности должна быть считана, изменена, 
а затем записана вновь. Этот метод больше годится для операций записи 
больших блоков, чем для обработки транзакций. В Windows МТ Server не 
применяется. 


Чередование дисков с записью информации 
о четности на все диски 


ВАШ 5 применяется в большинстве современных отказоустойчивых систем. 
От остальных уровней он отличается тем, что информация о четности за- 
писывается на все диски массива. При этом данные и соответствующая им 
информация о четности всегда располагаются на разных дисках. Если один 
из дисков выходит из строя, оставшейся информации достаточно для пол- 
ного восстановления данных. 


Чередование дисков с четностью обеспечивает наивысшую производитель- 
ность для операций чтения. Но при выходе из строя диска скорость чтения 
резко снижается, поскольку нужно выполнять восстановление данных. Опе- 
рации записи требуют в три раза больше памяти в сравнении с обычной 
записью за счет циркуляции информации о четности. 


Этот механизм поддерживает от 3 до 52 дисков. Все разделы, кроме загру- 
304HOrO (системного), могут входить в набор чередования. 
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й 


— Информация о четности 


Уровень 5 — чередование диска с четностью. 


Замена секторов в “горячем режиме” 


В Windows МТ Server имеется возможность восстановления секторов в про- 
цессе работы. При форматировании тома файловая система проверяет все 
сектора и, обнаружив дефектные, помечает их для исключения из дальнейшей 
работы. Если плохой сектор обнаружен в процессе записи/чтения, отказоус- 
тойчивый драйвер пытается перенести данные в другой сектор, а этот отме- 
тить как сбойный. Если перенос удается, файловая система не предупрежда- 
ет о проблеме. Эта процедура возможна только на дисках SCSI. 


Замена секторов не поддерживается на разделах HPFS. 


1. Определяет сбойный 3.Помечает сбойный 
сектор сектор 


2. Перемещает данные в хороший сектор 


Замена секторов. 


Резервное копирование 
на магнитную ленту 


Windows МТ обладает встроенной программой резервного копирования Ha 
магнитную ленту (стример). В настоящее время существуют продукты сто- 
ронних фирм, обеспечивающие более развитые возможности резервного 
копирования. 
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Встроенная поддержка 


Windows NT Backup позволяет пользователям выполнять резервное копирова- 
ние и восстановление данных на локальный накопитель на магнитной ленте 
(стример). Значок, соответствующий программе резервного копирования, 
появляется в группе Administrative Tools только при наличии в системе 
стримера. Эту программу можно использовать для: 


> 


у 


резервного копирования и восстановления данных, расположенных на 
разделах NTFS, FAT и HPFS как на локальном, так и на удаленном компь- 
ютере; 


выбора отдельных томов, каталогов или файлов подлежащих копирова- 
нию/восстановлению. Также можно просматривать подробную информа- 
цию о файлах; 


выбора дополнительной проверки, определяющей правильность запи- 
си/восстановления; 


выполнения обычных операций резервного копирования: Normal (Hop- 
мальное), Copy (Копирование), Incremental (Приращение) Differen- 
tial (Разница) и Daily (Ежедневно); 


размещения на одной ленте несколько записей и либо их объединения, 
либо замещения одной другою; 


выполнения резервного копирования на несколько лент. Таким образом, 
отсутствует ограничение на размер; 


создания командного файла для автоматизации процесса резервного копи- 
рования; 


просмотра полного каталога резервных копий и выбора файлов и катало- 
гов, подлежащих восстановлению; 


выбора диска назначения и каталога, в который будет выполняться восста- 
новление; 


сохранения информации об операциях с лентой в журнале и последующе- 
го ее просмотра в Event Viewer. 
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Программа резервного копирования на магнитную ленту. 


Продукты сторонних фирм 


Кроме встроенной в Windows МТ Server утилиты резервного копирования, 
существует много программ сторонних фирм. Стоит отметить Backup Exec 
фирмы Arcada, Arcserve фирмы Cheyenne и Backup Director, выпускаемый 
Palindrome Corp. Все они являются 52-битными приложениями для Windows 
МТ, имеют графический интерфейс и поддерживают идеологию работы по 
методу “укажи и щелкни”. В то же время они предоставляют ряд дополни- 
тельных по сравнению с базовой утилитой возможностей. 


Агсааа Backup Exec 


На основе этого продукта создана утилита Backup Exec, включенная в Windows 
МТ Server. Она работает по принципу клиент-сервер и обладает как централь- 
ной административной консолью, так и консолью мониторинга ExecView™, 
позволяющими управлять несколькими серверами и клиентами одновре- 
менно с любой из машин в сети. Удаленное администрирование выполняет- 
ся с той же производительностью, что и администрирование из цент- 
рального узла. Администрирование и мониторинг удаленных клиентов и сер- 
вров выполняются с помощью механизма удаленного доступа (RAS) 
Windows МТ, что обеспечивает защиту всей сети. Backup Exec, будучи сервисом 
Windows МТ, обеспечивает высокую степень надежности. Встроенная возмож- 
ность планирования резервного копирования позволяет выполнять резервное 
копирование дисков рабочих станций, даже когда никто не зарегистрирован. 


198 windows МТ — выбор "профи" 


Windows МТ 
: OS/2 Server бе 


гмег/ f.. 
Workstation | 
00$, 4 
Windows, | Pi 
Windows for Windows NT и 
Workgroups Server i ha 
A ARS 


UNIX 
Workstation 


Macintosh sa 
Windows NT 
Server 


Windows 95 


Backup Exec интегрирован с продуктами семейства BackOffice. Так, пользовате- 
ли SQL Server 6.0 могут управлять резервным копированием всей базы данных, 
журналов транзакций и пр. Пользователи Exchange имеют возможность про- 
зрачного резервного копирования почтовых серверов даже во время их рабо- 
ты. SMS позволяет управлять распространением программного обеспечения, 
лицензированием и сетевыми операциями, a SNA Server позволяет выполнять 
резервное копирование на ленточные устройства мэйнфреймов. 


Backup Exec поддерживает следующие форматы хранения данных: Microsoft 
Tape Format (чтение и запись), Cheyenne ArcServe for Netware у4.х и 5.x 
(только чтение), SyTOS Plus for OS/2 (только чтение) и Maynard Tape Format 
(только чтение). Поддержка формата Microsoft обеспечивает простоту пе- 
рехода на эту программу резервного копирования. 


Cheyenne ARCserve® 


Программа ARCserve, предоставляя практически те же возможности, что и 
Васкир Ехес, дополнительно ‘позволяет сообщать информацию админист- 
ратору или оператору резервного копирования на пэйджер, по электрон- 
ной почте, в очереди на печать и с использованием SNMP. Еще одно пре- 
имущество — возможность резервного копирования/восстановления фай- 
лов одновременно на нескольких устройствах, что повышает общую произ- 
водительность. При восстановлении файлов можно указать дерево катало- 
гов, отдельный каталог, отдельные файлы или сделать запрос. 


ARCserve поддерживает только формат ARCserve for Netware у.4.х и 5.x. 
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Palindrome Backup Director Windows МТ Edition 
v.4.0 


Этот продукт, аналогичный описанным выше, позволяет выполнять резервное 
копирование и восстановление файлов на таких клиентах, как Windows, DOS, 
05/2 и Macintosh встроенными средствами. Однако для этого требуется сер- 
вер Netware. В поставку включен сервер на 100 подключений, что делает воз- 
можным резервное копирование только для 100 клиентов. 


Положительной стороной является поддержка стримеров, не расположенных 
на сервере, для чего предназначена встроенная утилита Off-Site Media Advisor. 


Обеспечение бесперебойного питания 


Источники бесперебойного питания (UPS) поддерживают работоспособность 
системы при сбоях питания за счет энергии аккумуляторных батарей. В 
Windows МТ встроен сервис UPS, позволяющий выполнять определенные дей- 
ствия в системе при поступлении сигналов от источника бесперебойного пита- 
ния. Кроме встроенного сервиса, сторонние производители UPS предлагают 
дополнительные продукты, обеспечивающие большую функциональность. 


Встроенная поддержка UPS 


Сервис UPS Windows МТ определяет сбои напряжения питания, предупреждает о 
них пользователя и корректно заглушает систему при истощении источника 
резервного питания. 


Для настройки параметров этого сервиса предназначен раздел UPS в панели уп- 
равления. 


С Uninterruptible Power Supply is installed оп: [С0М1: |% 

me a UPS Interface Voltages: 

EK) Power faikure signal @® Negative © Positive 

СЯ Low battery signal at least = © Negative © Positive 
2 minutes before shutdown 

09 Remote UPS Shutdown Фин © Pesiive 


Ы Execute Command File 
| File Name: |ThisServersDown.cmd | 


UPS Characteststior UPS Service 


Е - ; те between failure 
Expected Battery Lite bes ay ore pt iva aokehae: sec 


flattery recharge tune Г Ex we Delay between warning a 
Pet mMinale of san hme, 100 у теззадез: — 


Диалоговое окно настройки параметров UPS. 


200 Windows МТ — выбор "профи" 


К настраиваемым параметрам относятся: 


— последовательный порт, к которому подключен источник бесперебойного пи- 
тания; 


наличие сигнала OT UPS при сбое напряжения питания; 
наличие предупреждения OT UPS при снижении уровня зарядки батарей; 


> наличие сигнала от сервиса UPS для выключения источника бесперебойного 
питания; 


> командный файл, выполняемый перед выключением компьютера; 
> ожидаемое время работы и перезарядки батарей; 


— временные интервалы для предупреждающих сообщений. 


Сервис UPS должен использоваться совместно с сервисами Alerter, Messenger и 
журналом регистрации. При этом все события, связанные с сервисом UPS (на- 
пример, сбой питания или сбой подключения источника бесперебойного пита- 
ния), будут занесены в журнал регистрации, а определенные пользователи по- 
лучат о них уведомления по сети. С помощью опции Server на панели управле- 
ния можно назначить пользователей и/или компьютеры, которые будут полу- 
чать эти уведомления. 


Продукты сторонних фирм 


Стоит отметить разработки фирмы АРС — PowerChute и PowerChute plus. Эти 
продукты позволяют выполнять автоматическую перезагрузку и выключение 
компьютера, уведомлять пользователя о сбоях питания с помощью сигналов 
тревоги и по электронной почте, а также отображать на экране в реальном 
масштабе времени текущее состояние источника бесперебойного питания (на- 
пряжение, температуру, уровень зарядки батарей и т.п.). Power- Chute предос- 
тавляет возможность выполнять проверки UPS в автоматическом режиме и 3a- 
носить в журнал все события, связанные с работой UPS. 


Контролировать работу UPS на разных серверах можно с одной рабочей станции, 
при этом для обеспечения защиты необходим пароль. Администратор может так- 
же указать, как реагировать на каждое из возможных событий. 


Выбор работоспособной конфигурации 


В процессе загрузки системы имеется возможность выбора последней работос- 
пособной конфигурации (Last Known Good Configuration). Она позволяет 
отказаться от модификаций, внесенных в конфигурацию системы. Например, в 
предыдущем сеансе работы Вы указали неверный тип видеоадаптера. Для восста- 
новления работоспособности системы достаточно выбрать Last Known Good 
Gonfiguration, когда система предложит это сделать. 
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Выбор профиля техники 


В версии Windows МТ 4.0 появилась возможность определения профи- 
ля техники, который будет использоваться системой. Это удобно на 
мобильных компьютерах, способных функционировать как “сами по 
себе”, так и будучи подключенными к материнским блокам (docking 
station). Однако, конфигурируя такой профиль, можно указать, напри- 
мер, на загрузку системы с полностью отключенными сетевыми фун- 
кциями, что иногда бывает весьма полезно. Для создания профиля в 
утилите System выберите вкладку Hardware Profiles в панели управ- 
ления. 


| бужет Properties 


Ппама! Configuration [Current] 
i Reserved Configuration 


Диалоговое окно System Properties. 


Как только Вы создадите хотя бы один дополнительный профиль, OH 
будет предлагаться в качестве альтернативы при загрузке системы. В 
случае Вашего отсутствия будет выбран профиль по умолчанию. 


ооо ооо ооо оо ооо ооо оо ооо ео ооо оо ооо ооо оо ово ооо ооо eG eG 
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Emergency Repair Disk 


Emergency Repair Disk позволяет пользователю восстановить систему в TO 
состояние, в каком она была сразу после установки. Этот диск используется, 
когда системные файлы повреждены и пользователь не может восстановить 
систему вызовом последней работоспособной конфигурации. Диск 
Emergency Repair Disk создается во время установки Windows МТ. В даль- 
нейшем его можно создать командой ВГИК, однако такой диск не позволит 
восстановить систему в первоначальное состояние. 


Emergency Repair Disk выполняет следующие функции: 


> Сверяет дерево каталога Windows МТ с тем, что записано в журнале, и про- 
веряет целостность и наличие всех системных файлов. 


Если какой-либо из файлов пропущен или поврежден, происходит его 
восстановление с соответствующей дискеты или  СО-КОМ-диска 
с Windows МТ. На компьютерах с процессорами x86 пользователю пред- 
лагается вставить дискеты или СО-КОМ-диск, с которых выполнялась ус- 
тановка. Если установка выполнялась с помощью — программы 
WINNT.EXE, для восстановления потребуется тот комплект дискет или 
тот компакт-диск, с которого создавался сетевой каталог, из которого 
выполнялась установка. | 


> Проверяет файлы Windows МТ в системном разделе и определяет 
наличие и целостность всех файлов. 


Если какой-либо из файлов пропущен или поврежден, его восстановление 
происходит с соответствующей дискеты или СО-КОМ-диска с Windows МТ. 
Если пользователь случайно переформатировал или изменил системный 
раздел на компьютере с процессором x86, так что Windows МТ больше не 
стартует, программа восстановит начальную загрузочную конфигурацию. 


Например, если на Вашем компьютере стояла только система Windows 
NT, а потом Вы поставили MS-DOS, Windows МТ перестанет загружаться. 
Выполнив процедуру восстановления, при загрузке Вы сможете выби- 
рать одну из двух операционных систем: Windows МТ или MS-DOS. Еще 
пример. Допустим, система Windows МТ установлена на второй физичес- 
кий диск в компьютере, а загрузочные файлы — на первом. После замены 
первого диска на новый, например большего объема, для восстановления 
работоспособности системы лишь выполните процедуру восстановле- 
ния с Emergency Repair Disk. 


Если установка выполнялась не с дискет и не с СО-КОМ-диска, а с помо- 
щью программы WINNT.EXE, для восстановления потребуется тот комп- 
лект дискет или тот компакт-диск, с какого создавался сетевой каталог, из 
которого выполнялась установка. 


> Проверяет наличие ошибок в реестре. Если обнаруживаются поврежден- 
ные файлы, пользователю предоставляется возможность их восстановле- 
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ния с помощью Emergency Repair Disk. При этом восстанавливаются 
бюджеты пользователей и защита файлов, существовавшие на момент 
создания Emergency Repair Disk. Для этого выполняется резервное ко- 
пирование каталога \winnt35\system32\config. 


> Снимает защиту с системных файлов, если Windows МТ установлен на 
разделе NTFS. Это пригодится, если пользователь случайно установит 
такие права доступа к системным файлам, что система не сможет полу- 
чить доступа к необходимым для запуска файлам. 


Советую регулярно создавать новые копии Emergency Repair Disk коман- 
дой RDISK. Это особенно актуально после выполнения обновлений системы 
с помощью так называемых сервисных пакетов (Service Packs). Страховочный 
диск, созданный после установки сервисного пакета, избавит Вас в дальней- 
шем от процедуры переустановки сервисного пакета после восстановления 
исходного состояния системы. 


fc. Repair Disk Utility 


Утилита RDISK. 


Утилита КОК имеет графический интерфейс и позволет либо создать HO- 
вый страховочный диск (Create Repair Disk), либо обновить информацию 
на уже имеющемся (Update Repair Info). 


Зеркализация серверов 


Описанные выше способы обеспечения надежного хранения данных мож- 
но использовать, только когда сам сервер работает надежно. В случае краха 
сервера его клиенты будут на какое-то время лишены возможности доступа 
к данным. И это продлится тем дольше, чем больше потребуется времени 
администратору на восстановление самого сервера либо данных с ленты на 
другом сервере. Так что возникает необходимость резервирования инфор- 
мации в реальном масштабе времени. 


Фирма Novell разработала продукт SFT Ш, позволяющий это делать для 
Netware. В Windows МТ такая функция не встроена. Казалось бы, можно ис- 
пользовать службу тиражирования каталогов, но она действует не в реаль- 
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ном масштабе времени и предназначена только для предоставления распре- 
деленного доступа к специфичной информации. 


Фирмой Octopus Technologies Inc. выпускается Octopus Real Time Data Protection. 
С помощью этого продукта можно организовать зеркализацию файлов или 
каталогов с одного сервера на один или несколько других серверов или рабо- 
чих станций. 


В Octopus связь между серверами основана на вызовах удаленных процедур. 
Информацией, посылаемой в зеркальные каталоги, является только обнов- 
ление файлов и каталогов. Например, если использовать Octopus для резер- 
вирования базы данных, по CeTH реально передаются только обновления 
(удаленные или добавленные записи). Если бы каждый раз передавалась вся 
база, это привело бы к резкому возрастанию трафика в сети и снижению ее 
производительности. 


Еще один плюс Octopus: серверы связаны обычной сетью, и при этом не тре- 
буется особый протокол. Достаточно установить серверную часть на компь- 
ютер, данные которого должны резервироваться, и клиентскую часть — на 
компьютеры, куда будут поступать данные. Возможны следующие комбина- 
ции резервирования: с одного сервера на другой, с одного на несколько 
других, с нескольких на несколько и с нескольких на один. Обновления 
файлов выполняются на транзакционном уровне. Транзакция всегда должна 
быть завершена, иначе происходит откат. 


Варианты зеркализации серверов в системе Осюриз$: а) один в один; 6) 
один в несколько; в) несколько в один; г) цепью. 
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А что произойдет в случае краха сервера при использовании системы Octopus? 
Все зависит от версии. В стандартной версии администратор системы дол- 
жен либо восстановить исходный сервер, либо переключить всех пользова- 
телей на TOT, что был зеркальным. Последние версии Octopus имеют допол- 
нительную функцию автоматического переключения (Automatic Switching 
Option), позволяющую автоматически переключать пользователей на зер- 
кальный сервер при крахе основного. В любом случае самые последние 
версии файлов останутся сохранеными. 


Несмотря на простоту и относительно невысокую стоимость, у такой систе- 
мы есть один минус: пользователям необходимо переключаться на новый 
сервер, перезапускать процессы и заново открывать файлы. К тому же при 
этом теряется и содержимое оперативной памяти. 


Кластеры серверов 


Высшая надежность достигается с помощью кластерных систем, обеспечи- 
вающих не только надежность хранения данных, но и непрерывность про- 
цессов, выполняющихся в кластере, а также производительность, определя- 
емую совокупностью всех серверов, входящих в кластер. 


Совсем недаво кластерных систем для Windows МТ не существовало. Однако 
в последнее время ряд компаний (AT&T Global Information Solutions, Compaq 
Computer Corp. Digital Equipement Corp. Hewlett-Packard и Tandem 
Computers Inc.) предложил варианты кластерных решений для Windows МТ. 


Определение кластеров 


В общем случае кластером называется группа независимых систем, работа- 
ющих как единое целое. Клиент взаимодействует с кластером как с одним 
сервером. Кластеры используются как для повышения доступности, так и 
для наращиваемости. 


Доступность: Когда одна из систем, состовляющих кластер, выходит из 
строя, программное обеспечение кластера распределяет работу, выполняв- 
шуюся ею, между другими системами кластера. 


Наращиваемость: Когда общая загрузка системы достигает предела воз- 
можностей систем, составляющих кластер, его можно нарастить, добавив 
дополнительную систему. Раньше для этого мы вынуждены были приобре- 
тать дорогостоящие компьютеры, позволяющие устанавливать дополни- 
тельные процессоры, диски и память. А с помощью кластеров Вы увеличите 
производительность по мере необходимости, просто добавляя новые сис- 
темы. 
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Иллюстрация кластеров — доступность данных 


В качестве примера рассмотрим работу современного супермаркета. Его рас- 
четные центры — сердце бизнеса. Кассовые аппараты должны быть постоянно 
подключены к базе данных магазина, хранящей информацию о продуктах, 
кодах, названиях и ценах. Если связь рвется, теряется возможность обслужива- 
ния клиентов, падает прибыль, и, что, может быть, хуже всего, — подрывается 
репутация фирмы. 


В этом случае кластерная технология используется для повышения доступ- 
ности системы. В нашем примере можно предложить использование двух 
систем, подключенных к многопортовому дисковому массиву, на котором 
располагается база данных. В случае сбоя сервера А резервная система (сер- 
вер Б) автоматически подхватит соединение так, что пользователи и не за- 
метят, что произошел сбой. Таким образом, комбинируя технологию обес- 
печения повышенной надежности работы с диском, стандартно используе- 
мую в Windows МТ Server 3.51 (чередование, дублирование и т.д), с кластер- 
ной технологией, обеспечивают гарантированное обеспечение доступнос- 
ти системы. 


Обеспечение непрерывного доступа. 
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Иллюстрация кластеров — наращиваемость 


В качестве примера наращиваемости рассмотрим финансовый бизнес. Всю 
полноту ответственности за работу финансовой или банковской системы, 
естественно, несет главный технический специалист. Он отлично понимает, 
что малейший сбой системы повлечет за собой коллоссальные финансовые 
потери и град упреков в его адрес. С другой стороны, безукоризненная ра- 
бота системы в конечном итоге приведет к тому, что на нее будет перекла- 
дываться все больше и больше задач. Все это приведет к исчерпанию воз- 
можностей системы и необходимости разработки и создания новой. 


Эти соображения приводили до недавнего времени к тому, что технические 
специалисты банков вынуждены были сразу закладываться на потенциально 
колоссальные вычислительные потребности и создавали системы на базе 
больших мэйнфреймов и мини-ЭВМ. 


Кластерная технология на базе Windows МТ Server предоставляет потрясаю- 
щую возможность — отказаться от дорогостоящего оборудования и исполь- 
зовать широко распространенную систему на самых обычных аппаратных 
платформах. Наращивание мощности достигается простым добавлением 
еще одной системы в кластер. 


Наращивание суммарной мощности кластера при включеции в него 
дополнительных систем. 


Традиционная архитектура предоставления 
высокой доступности 


Сегодня повышение доступности компьютерных систем достигается не- 
сколькими способами. Самый типичный — дублирование систем с полнос- 
тью тиражируемыми компонентами. Программное обеспечение такой сис- 
темы постоянно отслеживает состояние работающей системы, а вторая 
система все это время простаивает. В случае сбоя первой происходит пере- 
ключение на вторую. Такой подход, с одной стороны, значительно повыша- 
ет стоимость оборудования без повышения производительности системы в 
целом, а с другой — не обеспечивает защиты от ошибок в приложениях. 
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Традиционная архитектура обеспечения 
наращиваемости 


Наращиваемость сегодня также обеспечивается несколькими способами. 
Создать систему с наращиваемой производительностью можно, например, 
использовав симметричную мультипроцессорную обработку (SMP). В SMP- 
системах несколько процессоров используют одну общую память и устрой- 
ства ввода/вывода. В традиционной модели “совместного использования 
памяти” выполняется одна копия операционной системы, а процессы при- 
кладных задач работают так, будто в системе лишь один процессор. При 
запуске в такой системе приложений, не использующих общие данные, до- 
стигается высокая степень наращиваемости. 


Основным тормозящим фактором использования систем с симметричной 
обработкой являются физические ограничения скорости работы шины и 
доступа к памяти. По мере увеличения скорости работы процессоров возра- 
стает их стоимость. Сегодня пользователь, возжелавший добавить 2-4 про- 
цессора (а в особенности более 8), должен заплатить бешенные деньги, со- 
вершенно непропорциональные числу процессоров. 


Архитектура кластера 


Кластеры могут иметь разные формы. Например, в качестве кластера может 
выступать несколько компьютеров, связанных по сети Ethernet. Кластерами 
высокого уровня являются высокопроизводительные многопроцессорные 
5МР-системы, связанные высокоскоростной шиной, связи и ввода-вывода. В 
обоих случаях увеличение вычислительной мощности достигается неболь- 
шими шагами при добавлении очередной системы. С точки зрения клиента, 
кластер представляется в виде одного сервера или образа одной системы, 
хотя реально состоит из нескольких компьютеров. 


Сегодня в кластерах используются в основном две модели: с общими дисками 
и без общих компонентов. 


Модель с общими дисками 


В модели с общими дисками программное обеспечение, исполняемое на любой 
из систем, входящих в кластер, имеет доступ к ресурсам систем кластера. Если 
двум системам нужны одни и те же данные, то они либо дважды считываются 
с диска, либо копируются с одной системы на другую. В $МР-системах при- 
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ложение должно синхронизировать и превратить в последовательный вид 
доступ к общим данным. Обычно для организации синхронизации использу- 
ется Диспетчер распределенных блокировок (Distributed Lock Manager — 
DLM). Сервис DLM позволяет приложениям отслеживать обращения к ресур- 
сам кластера. Если к одному ресурсу обращается более двух систем одновре- 
менно, Диспетчер распределенных блокировок распознает и предотвращает 
потенциальный конфликт. Процессы DLM могут приводить к дополнитель- 
ному трафику сообщений в сети и снизить производительность. Один из спо- 
собов избежать этого эффекта — программная модель без общих компонен- 
тов. 


Модель без общих компонентов 


В модели без общих компонентов каждая система, входящая в кластер, владеет 
подмножеством ресурсов кластера. В каждый момент времени только одна 
система имеет доступ к определенному ресурсу, хотя при сбоях другая ди- 
намически определяемая система может вступить во владение этим ресур- 
сом. Запросы от клиентов автоматически перенаправляются к тем системам, 
что владеют необходимым ресурсом. 


Например, если в запросе клиента содержится обращение к ресурсам, нахо- 
дящимся во владении нескольких систем, одна система выбирается для обслу- 
живания запросов (ее называют хост-система). Затем эта система анализирует 
запрос и передает под запросы соответстсвующим системам. Они выполняют 
полученную часть запроса и результат возвращают хост-системе, которая 
формирует окончательный результат и отсылает его клиенту. 


Одиночный системный запрос к хост-системе описывает высокоуровневую 
функцию, порождающую системную активность, а внутрикластерный тра- 
фик не генерируется до тех пор, пока не будет сформирован конечный 
результат. Приложение, распределенное между несколькими системами, входя- 
щими в кластер, позволяет преодолеть технические ограничения, присущие 
одному компьютеру. 


Модели с общим диском и модель без общих компонентов могут работать 
в пределах одного кластера. Некоторые программы наиболее просто исполь- 
зуют возможности кластера в рамках модели с общим диском. К таким при- 
ложениям относятся задачи, требующие интенсивного доступа к данным, а 
также задачи, которые трудно разделить на части. Приложения, для кото- 
рых важна наращиваемость, должны использовать модель без общих KOM- 
понентов. 
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Серверы кластерных приложений 


В то время как кластеры предоставляют доступность и наращиваемость для 
всех серверных приложений, специальные “кластерные” приложения могут 
использовать все преимущества кластеров. Серверы баз данных должны 
быть улучшены за счет добавления либо функций координации доступа к 
общим данным в кластерах с общим диском, либо функций разделения за- 
просов на более простые запросы в кластерах без общих компонентов. В та- 
ких кластерах сервер баз данных сможет задействовать все преимущества 
разделения данных путем выполнения параллельных запросов. Дополни- 
тельно к этому серверные приложения могут быть расширены функциями 
автоматического определения неработающих компонентов и инициации 
быстрого восстановления. 


Исторически для создания кластерных приложений использовались Мони- 
торы обработки транзакций. Монитор транзакций отвечает за перенаправ- 
ление клиентских запросов к соответствующим серверам внутри кластера, 
распределения запросов между серверами и координации транзакций меж- 
ду серверами кластера. Монитор транзакций также может заниматься балан- 
сировкой нагрузки, автоматическим переподключением и повторением ис- 
полнения запроса в случае сбоя на сервере, а также принимать участие в 
процессе восстановления после сбоев. 


Кластеры на основе Windows МТ Server 


Сервер Windows NT Server 5.51 содержит базовые компоненты, необходимые 
для построения кластеров. К ним относятся, например, возможность однократ- 
ной регистрации, унаследованная из доменной архитектуры сети, возможность 
всех административных утилит выполнять мониторинг нескольких систем, а 
также возможность перенаправлять запросы через редиректор. 


Кластерные расширения представляют целый спектр технологий, которые 
будут реализованы с течением времени. При реализации этих расширений 
будут расставлены приоритеты, основанные на требованияъ клиентов. 


Двухфазный подход 


В настоящее время Microsoft разрабатывает интерфейс программирования 
кластеров (Cluster Application Programming Interfaces — САРГ), который по- 
зволит приложениям воспользоваться преимуществами Windows NT Server в 
кластере. 
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Разработка кластеров разбивается на 2 фазы: 
Фаза 1: Защита от сбоев 


Данное решение позволяет повысить доступность данных путем предостав- 
ления возможности двум серверам использовать одни и те же жесткие дис- 
ки внутри кластера. В случае сбоя одного сервера, управление и задачи им 
выполняемые передаются на второй так, что в большинстве случаев сбой 
проходит незамеченным для приложения. 


Фаза 2: Наращиваемое решение 


В терминах наращиваемости общая производительность кластера определяет- 
ся совокупной производительностью систем, составляющих кластер. Пользо- 
вателю предоставляется возможность повышать мощность не путем приоб- 
ретения дорогостоящих многопроцессорных компьютеров, а добавляя 
новые относительно дешевые системы. 


Конструкция предполагает возможность использования в кластере нескольких 
узлов, однако на первых порах будет введена поддержка только двух узлов. 
Независимо от платформы, на которой исполняется Windows МТ (x86, MIPS, 
ALPHA, PPC), системы будут доступны для объединения. 


Кластерные расширения будут встроены не только в сам сервер, но и в продук- 
ты BackOffice (например, SQL Server и Exchange Server). 


ГЛАВА 7 


Разграничение доступа 
к принтерам 


Чем больше пользователей нуждается в выводе на печать своих доку- 
ментов, тем выше вероятность того, что все они захотят сделать 
это одновременно. Задача администратора — сделать так, чтобы не 
возникло конфликтных ситуаций, плюс к тому обеспечить невозмож- 
ность для “непосвященных” случайно подглядеть конфиденциальные 
документы. Механизмы управления печатью в Windows NT Server чрез- 
вычайно просты и удобны в работе. 
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Работа с принтерами 


Для управления и администрирования принтерами предназначены Print Manager 
и Server Manager. Эти операции доступны пользователям, входящим в группы 
Administrators, Server Operators или Print Operators. Если пользователь не 
входит ни в одну из перечисленных групп, его доступ к принтеру определяется 
членом одной из них. 


Print Manager доступен через панель управления Control Panel и позволяет 
авторизированным пользователям: 


— добавлять и удалять принтеры; 

> конфигурировать принтеры; 

> печатать на принтер или в файл; 

> предоставлять принтер в совместное использование в сети; 

> определять время, в течение которого к принтеру открыт доступ; 

> управлять заданиями на печать, посланными на принтер; 

> просматривать принтеры, находящиеся в сети, и находить незагруженные; 
> останавливать и возобновлять печать; 

> устанавливать порядок печати в очереди на печать; 

> управлять локальными и удаленными принтерами; 


> удалять задания из очереди на печать; 


у 


устанавливать часы, в течение которых принтер доступен; 


> управлять типом доступа к принтеру. 


Создание принтера 


Под созданием принтера подразумевается установка в системе соответствую- 
щего драйвера. Физически принтер может быть подключен как локально (к 
параллельному и последовательному порту), так и по сети — с использованием 
протоколов TCP/IP или DLC. К одному серверу можно подключить неограни- 
ченное число принтеров. 


Для создания принтера в Print Manager в меню Printer выберите команду Create, 
а затем в списке диалогового окна Create Printer — соответствующий тип прин- 
тера. Принтеру необходимо дать имя, например Laserprint. 
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Create Printer 


Printer Мате: |Laserprint 


Driver: HP Lasenet 451/451 МХ PS 
Description: | Laser printer installed on the 4-th floor 


Print to: РТ1 


J Share this printer on the network 


Диалоговое окно Create Printer. 


В Windows МТ 4.0 процедура создания нового принтера существенно 
изменилась. Связано это не только с тем, что теперь она более ориен- 
тирована на пользователя, но и с тем, что изменился сам механизм 
печати. Новая версия использует Enhanced Мега Ше$ (EMF), что заметно 
ускоряет печать. Кроме ускорения, появляется возможность печати 
одного и того же файла ЕМЕ на любом принтере. 


Для создания нового принтера необходимо использовать Мастер созда- 
ния принтеров (Add Printer Wizard), размещающийся в папке Му 
Computer. На рисунке показаны некоторые из шагов, которые необ- 
ходимо сделать в целях добавления в систему нового принтера. 


и 35 
Windows NT 4.0 MIPS 
Windows NT 4 0 Alpha 
windows NT 4.0 PPC 


Мия МЫ 9. 
Windows NT 35 м 351 MIPS 


эс ово ооо о ооо ооо ооо ооо ооо ооо ооо оо ооо 


Окна Мастера добавления нового принтера. 
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При подключении к сетевому принтеру, управляемому Windows МТ вер- 
сии 4.0, Вам не понадобится устанавливать сам драйвер принтера, так как 
будет использоваться тот, что установлен на сервере. В случае использо- 
вания любого другого принтера (даже управляемого Windows МТ 3.5x) 
установка драйвера обязатель ча. 


эээ 3 6 


Совместное использование принтеров 


Чтобы предоставить принтер в совместное использование, в Print Manager вы- 
берите необходимый принтер, в диалоговом окне Printer Properties укажите 
имя принтера, под которым он будет доступен в сети, и его положение. 


Printer Properties 


Printer Name: 
Driver: HP LaserJet Series || 


Description: 


Print to: Ler 


м Share this printer on the network 


Location: 


Диалоговое окно Printer Properties. 


В этом диалоговом окне нельзя указать пользователей или группы, имеющие дос- 
туп к принтеру, а также тип доступа. Для этого предназначено диалоговое окно 
Printer Permissions. 


В Windows МТ версии 4.0 предоставление принтера в совместное использо- 
вание позволяет не только выполнять печать с рабочих станций, но и авто- 
матически загружать необходимый для определенного клиента драйвер 
принтера. Допустим, Вы работаете на компьютере в среде Windows 95. При 
подключении к сетевому принтеру Вам не потребуется обращаться к завет- 
ной коробочке с дистрибутивом системы, чтобы установить драйвер, — 
будет использоваться тот, что был для Вас заботливо установлен на сервере 
администратором сети. 


*#ee#e2e?e?2e228 ¢ 
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Все, что должен для этого сделать администратор, — указать в списке всех 
возможных клиентов печати. К поддерживаемым таким образом клиентам 
относятся Windows 95 и Windows МТ версий 3.1, 3.5, 3.51 и 4.0 для всех 
аппаратных платформ, на которых работает эта система. 


Windows 95 

Windows МТ 4.0 x86 (Installed) 
Windows NT 4.0 MIPS 
Windows NT 4.0 Alpha 
Windows NT 4.0 PPC 
Windows МТ 3.5 ог 3.51 x86 


Предоставление принтера в совместное использование 
6 Windows NT 4.0. 
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Настройки принтера 


Настройка некоторых параметров принтера доступна через диалоговое окно 
Printer Details. В нем можно определить часы, в течение которых принтер досту- 
пен, разделительную страницу, создать пул принтеров, указать приоритет принте- 
ров, процессор печати, тип данных по умолчанию, а также указать на необходи- 
мость печати непосредственно в порт. Единственная функция в этом окне, относя- 
щаяся к безопасности печати, — определение часов, в течение которых принтер 


доступен. 
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Printer Details - LaserPrinter 
Available From: {12:00 [4 To:/00:00 [№ 


Separator File: 


Print to Additional Ports: 


Netw areCompatiblePS erver0| #4 
Net/areCampatiblePS erverl 


_] Print Directly to Ports 
(J Hold Mismatched Jobs 

М Delete Jobs After Printing 
— LJ Job Prints While Spooling 
_Delete Port | О Print Spooled Jobs First 


Диалоговое окно Printer Details. 


Например, Дима указал, что Laserprinter доступен с 10-00 до 15-00. Если Саша 
попытается вывести документ на этот принтер в 16-00, документ попадет в оче- 
редь на печать, но не будет напечатан. Сашин документ будет находиться в оче- 
реди на печать, пока не наступит разрешенное время либо пока Дима не выберет 
этот документ в очереди и не укажет для него другое доступное время печати. 


Если Сашин документ находился в очереди на печать в момент изменения време- 
ни доступности принтера, так что оно захватывает текущее время, то все новые 
документы, попадающие в очередь, будут распечатаны. Но Сашин документ будет 
в очереди, пока не наступит время, указанное в качестве доступного на момент 
попадания документа в очередь, либо пока Дима не укажет для этого документа 
новое время. 


В Windows МТ 4.0 настройки принтера разделены. В диалоговом окне 
Printer Properties есть следующие разделы: 


General — описание общих параметров принтера, процессора печати и 
драйвера; 


Ports — список всех используемых для подключения принтеров портов 
Scheduling — параметры, определяющие скорость печати и доступность 


принтера. Также в этом разделе можно указать приоритет печати доку- 
ментов. Интересно, что, указывая на необходимость выполнения спулин- 


ААА. 
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га при печати, Вы можете выбрать опцию, при которой сам процесс печа- 
ти начнется сразу, не дожидаясь окончания спулинга. 


HP LaserJet 5555 МХ Рб Properties RAE? О HP LaserJet 551551 МХ PS Prop 


Страницы диалогового окна Printer Properties. 


Тонкая настройка остальных параметров принтера выполняется в разделе 
Device Settings. Параметры, специфичные для каждого вида принтера, 
представлены в виде древовидной структуры. Выбирая тот или иной эле- 
мент структуры, Вы получите доступ к элементам настройки параметра. 


HP LaserJet 551551 МХ PS Properties 


58 


г г. Rh 
HP Lasewet 551/551 MX PS Device Settings 
„$ Available Postscript Memory: <1473 KB> 
г. Halftone: <lise Pinter Halttone> 
7 
=) . $3) Form To Tray Assignment 
Г] Einetione Feeder No Assignment> 
Е Tray 1: <A4> 
Tray 2: <A4> 


Окно тонкой настройки параметров принтера. 
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Права доступа к принтеру 


Права доступа к принтеру назначаются при выборе команды Printer Permissions 
в меню Security. В появляющемся при этом диалоговом окне укажите пользовате- 
лей или группы, имеющие доступ к принтеру, а также тип этого доступа. 


= Printer Permissions 


Printer: LaserPrinter 


Owner: Administrators 


Full Contral 
Manage Documents 
Print 

Full Control 
Full Control 


Диалоговое окно Printer Permissions. 


No Access Print Manage Full 
Documents Control 
Печать документов ® 6 
Управлять настройками документов ® ® 
Приостанавливать, возобновлять, @ a 
перезапускать и удалять печать 
документов 


Изменять порядок печати 


Приостанавливать, возобновлять 
и очищать принтер 


Изменять свойства принтера 
Удалять принтер 


Изменять права доступа к принтеру 


Права доступа кумулятивны, но No Access преобладает над остальными. 


Все вновь создаваемые пользователи по умолчанию принадлежат к группе 
Domain Users и могут печатать и удалять свои задания на печать, но не управ- 
лять документами. Чтобы изменить права доступа к принтеру, пользователю 
нужно быть либо владельцем принтера, либо иметь полный доступ. Он также 
может видеть права печати для каждой группы. 
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Владелец 


Владелец принтера назначается в меню Security. Пользователь, имеющий пол- 
ный доступ к принтеру или принадлежащий к группе администраторов, 
может вступить во владение принтером. Владение принтером позволяет 
изменять права доступа к нему. 


Printer Мате: LaserPrinter 


Owner: Administrators 


Диалоговое окно Owner. 


Так как в Windows МТ 4.0 отсутствует Print Manager, To для разграниче- 
ния доступа используется описанное ранее диалоговое окно Printer 


Properties, раздел Security. 


iW НР Lasertet 5$ 
pgs acai 


Из этого раздела Вы попадаете в диалоговые окна определения прав 
доступа, аудита и владельца, “нажимая” соответствующие кнопки. Ниче- 
го принципиально нового по сравнению с предыдущей версией в этих 
параметрах не появилось. 
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Защита спул-файла 


При печати на локальном принтере будет выполняться спулинг задания на диск. 
Если спул-каталог находится в разделе NTFS, то пользователь, не имеющий прав 
доступа к нему, не сможет осуществлять печать. По умолчанию группа Everyone 
имеет право доступа Change к каталогу спулинга. Если изменяется положение 
спул-каталога, удостоверьтесь, что все пользователи имеют право доступа 
Change к нему. 


Защита реестра 


Значения, регулирующие процесс печати, хранятся в реестре в подключе 
HKEY LOCAL _MACHINE\SYSTEM\CurrentControlSet\Control\Print. Если админи- 
стратор через редактор реестра установил для пользователя только право чте- 
ния этого ключа, пользователь не установит и не сконфигурирует принтеры, 
так как Print Manager будет не в состоянии изменить этот подключ. 


Приложения Windows пытаются найти информацию о доступных принтерах в 
реестре в подключе HKEY CURRENT_USER\Software\Microsoft\WindowsNT\ 
CurrentVersion\PrinterPorts. Если у пользователя нет разрешения записи этого 
подключа, приложения Windows не распознают вновь добавленные принтеры 
и могут пытаться обратиться к удаленным принтерам. 


ГЛАВА 8 


Взаимодействие 
с Novell Netware 


Не так давно известные строчки Маяковского можно было смело пере- 
фразировать таким образом: ‘мы говорим — сети, подразумеваем — 
Netware”. И хотя сегодня это утверждение уже далеко не бесспорно, 
тысячи сетей используют в качестве основы серверы Novell Netware. 
Система, предназначенная для сети, но не понимающая Novell, обречена. 
Windows МТ Server “учился” работать с Netware от версии к версии. По- 
смотрим на результаты этой учебы. 
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Основные виды взаимодействия 


Пользователи, пришедшие в мир Windows МТ из мира Netware, на вопрос, как 
они представляют себе взаимодействие между этими двумя системами, с ходу 
ответят, что необходимо: 


предоставить пользователям Windows NT доступ к серверам Netware. 


Потом, слегка подумав и вспомнив, что на базе Windows МТ Server можно стро- 
ить сети с самыми разнообразными клиентами, выдвинут еще пару требований: 


предоставление клиентам сети Microsoft доступа к серверу, Netware и 


предоставление клиентам сети Netware доступа к ресурсам доменов Window's 
NT. 


Если же они знают, что Windows NT Server — прекрасный сервер приложений, 
то, несомненно, добавят: 


возможность для клиентов Netware работать с серверными приложениями 
Windou's NT. 


Уверен, что после непродолжительных размышлений о тяжелой доле адми- 
нистратора гетерогенной (смешанной) сети, в этот список будет внесена 


возможность централизованного управления двумя сетями. 


Ну и наконец, тем, кто уже вкусил и того и другого, познал радости и огор- 
чения от двух сетей, припомнил все бессонные ночи, придет в голову совсем 
уже крамольная мысль о 


быстром и безопасном переходе от сети Netware к сети Windows NT Server. 


“Не многовато ли будет?!” — воскликнет кое-кто. Отнюдь нет — такими свой- 
ствами обладает текущая версия NT Server. О них-то и рассказано в данной 
главе, так сказать, в “хронологическом порядке” — в той последовательности, 
в какой появлялись новые возможности взаимодействия в Windows МТ. 
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Доступ к серверным приложениям 
Windows МТ Server 


Первые пользователи появившегося в 1993 году Windows NT Advanced Server 3.1 
недоуменно пожимали плечами, читая о встроенной в него возможности взаи- 
модействия с Netware. Им было совершенно невдомек, зачем нужен протокол 
NWLink IPX/SPX Compatible Transport. 


Add Network Software 


Network Software: NWLink IPX/SPX Compatible Transport 2 


NetBIOS Interface 
Select the software compo) Network Monitor Agent 


from the vendor. NWLink IPX/SPX Compatible Transport 


RPC Configuration 


Remote Access Service 
SAP Agent |+ 


Добавление протокола NWLink IBX/SPX. 


После его добавления как будто ничего не происходило: с МТ-компьютера не 
становились видны серверы Netware, как, впрочем, и ресурсы NT Server — с кли- 
ентов Netware. 


Ларчик открывается просто: этот вид транспорта нужен только для предостав- 
ления доступа к серверным приложениям, выполняемым на сервере МТ. Вот 
если на сервере запустить Microsoft SQL Server, а на клиентах Netware — pa6o- 
тающие с ним клиентские приложения, они прекрасно увидят сервер и смогут 
как посылать на него запросы, так и получать ответы на них. 


Посмотрим на этот вид доступа с точки зрения обеспечения защиты данных. 
Допустим, особо важная информация Вашей сети Netware хранится в неко- 
торой базе, управляемой SQL Server, и доступ к базе с клиентских рабочих 
мест разграничивается средствами SQL Server. Так как файловый доступ с 
клиентов Netware просто невозможен к серверу NT, то для потенциального 
взломщика просто не существует “объекта взлома” до тех пор, пока он явля- 
ется обычным клиентом сети Netware. Сам файл базы на сервере достаточно 
разместить на разделе NTFS и запретить доступ всем, кроме той учетной запи- 
си, от имени которой работает сам SQL Server. Это служит защитой от физи- 
ческого доступа к файлу из других операционных систем. 


Сравните это простое решение с теми ухищрениями, к которым вынуждены 
прибегать администраторы сети Netware в аналогичных ситуациях, имея ста- 
рые программы доступа к данным по методу совместного использования фай- 
лов (написанных Ha Clipper, Dbase и т.п.)! 
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Доступ с Windows МТ Server и Windows МТ 
Workstation к серверам Netware 


Несмотря на привлекательность описанного выше взаимодействия Windows МТ 
и Netware, продолжали раздаваться требования обеспечить функциональность, 
позволяющую увидеть сервер Netware с компьютера Windows МТ. Сначала пла- 
нировалось, что эту функциональность обеспечит фирма Novell, но дальше 
обещаний дело не пошло. И вот незадолго до выхода Windows МТ 5.5 появился 
обеспечивающий нужную функциональность клиент, разработанный Microsoft. 


В зависимости от типа системы этот сервис представляется в панели управле- 
ния под разными именами. В Windows NT Workstation это Client Service for 
Netware, а в Windows NT Server — Gateway Service for Netware. 


= Add Network Software 


Client Service for NetWare Я 
AppleT alk Protocol |+ 
| 


Network Software: 


Chent Service for NetWare тЫ 
DLC Protocol 

NetBEUI Protocol 
NetBIOS Interface 
Network Monitor A 


Select the software compo 
from the vendor. 


ent 


Диалоговое окно установки сервиса доступа к Netware. 


Этот сервис позволяет пользователю Windows МТ прозрачно осуществлять до- 
ступ к файлам и принтерам, предоставляемым в совместное использование на 
серверах Netware версий 2.x, 3.x и 4.х (в режиме эмуляции Bindery). 


После установки этого сервиса каждая регистрация пользователя Windows NT 
Server сопровождается подключением к предпочтительному (preferred) серверу 
Netware. Если выбранный сервер в момент входа в систему недоступен, появля- 
ется диалоговое окно с предложением выбрать другой. 


= Gateway Service for NetVYare 


Username: fyodorz 


Preferred Server 


Current Preferred Server: mw410 


Select Preferred Server: 


Print Options 

(С Add Form Feed 
Notify When Printed 
Print Banner 


Диалоговое окно настройки Oocmyna к серверу Netware. 
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Еще один новый элемент — строка Netware Compatible Networks в диалого- 
вом окне Connect Network Drive в File Manager, под которой перечисляются 
имена имеющихся в сети серверов Netware. Обладая соответствующими права- 
ми, можно подключиться к любому их ресурсу. 


вилегии, которыми Вы обладаете в домене Windows МТ, при подключении не 
имеют никакого значения. Мир Netware продолжает оставаться чужим монас- 
тырем и живет по своему уставу — со своими средствами администрирования 
учетных записей пользователей и средствами разграничения прав доступа. 
Прежде чем войти в него, убедитесь, что для Вас там создана учетная запись, а 
Вам сообщен пароль входа. 


Только появился описанный выше сервис, владельцы Netware 4.х загово- 
рили о необходимости реализации поддержки службы каталогов Netware 
NDS. Такая поддержка была реализована лишь в Windows МТ версии 4.0. 


Теперь пользователь указывает не предпочтительный сервер, а дерево 
(tree) — в структуре NDS и необходимый контекст в нем. Если в Microsoft 
Explorer дважды щелкнуть раскидистое дерево, будут показаны его кон- 
тексты. 


88) CN=NW410 
2] CN=NW410_SYS 


3-7] Deleted.sav 
1) Ею 

$#-С9 Login 
ЗН] Mail 

t}-(3 Msmail 

я С] Public 


rao 


С System 


При всем при TOM администрирование сети Netware остается возможным 
только средствами Netware и невозможно из домена Windows МТ. 


КАХА ВАА яяа. 
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Обеспечение прозрачного доступа клиентов 
сети Microsoft к ресурсам сети Novell 


Мы уже говорили, что сервис, предоставляющий доступ к серверу Netware со 
стороны сервера Windows МТ, называется Gateway Service, т.е. шлюз. И назван 
он Так недаром, поскольку позволяет дополнительно организовать шлюзо- 
вание из сети Windows в сеть Novell. А вот зачем это нужно, станет ясно из 
примера. 


Предположим, у Вас есть сеть, сервером которой является Windows МТ Server, 
а клиентами — хоть и слабенькие, но еще находящие применение компью- 
теры с 286 (или 386) процессором и 1Мб оперативной памяти. Они работают 
по протоколу NetBEUI, и на них установлен стандартный клиент для сети 
Microsoft Windows. Вместе они работают хорошо, пока не встает задача 
предоставления клиентам доступа еще и к серверу Netware. Это связано с тем, 
что нужно добавить а) протокол IPX/SPX и 6) соответствующее клиентское 
программное обеспечение. Наверное, для кого-то 1Мб ОЗУ — очень много, 
но только не для того, кто устанавливает приложение, работающее в сети, 
плюс непосредственно сетевой клиент. “Боливар не вынесет двоих” — второй 
сетевой протокол и клиент просто не влезут в жалкий 1Мб. Тут-то и пригодится 
шлюзование, позволяющее, не изменяя ничего на клиентах, получить доступ к 
ресурсам сервера Netware. 


Как же организуется шлюз? Для этого создается одна учетная запись, входящая 
в группу NTGATEWAY на сервере Netware, с правами доступа к этому серверу. 
Все остальные клиенты сервера Windows МТ осуществляют доступ к серверу 
Novell от имени этой учетной записи. Неважно, сколько одновременно клиен- 
тов воспользуется шлюзом; с точки зрения сервера Netware, это один пользова- 
тель. Более того, по умолчанию все эти пользователи будут обладать точно 
такими же правами и привилегиями, какими наделена учетная запись, от имени 
которой работает шлюз. 


Для настройки шлюза в Панели управления предназначена программа конфи- 
гурации, позволяющая указать имя учетной записи, от имени которой будет 
работать шлюз, выбрать сервер Netware и его ресурс, ограничить число пользо- 
вателей, которые одновременно смогут работать со шлюзом, и ограничить их 
привилегии. Подключаемый ресурс трактуется системой как ресурс NT Server, 
предоставляемый в совместное использование. Поэтому-то клиенты, подклю- 
ченные к серверу, на котором установлен шлюз, могут даже не подозревать о 
том, что работают с ресурсом Netware сервера, — с их точки зрения, это обыч- 
ный ресурс Windows МТ. 
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New Share 


Share Name: 


Network Path: 
Comment: 


Use Drive: 


User Limit: 
© Unlimited 


© Alon ver 


Диалоговое окно New Share для описания параметров шлюза. 


При организации шлюза особое внимание обратите на два параметра: привиле- 
гии учетной записи, от имени которой работает шлюз, и максимально разре- 
шенное число одновременных подключений. Без особой на то нужды не предо- 
ставляйте учетной записи привилегии администратора, так как это значительно 
повышает риск нарушения защиты Вашей системы. 


Создавая шлюз, программа по умолчанию разрешает неограниченное число 
одновременных подключений. Исходя из лицензионных ограничений, Вы 
обязаны разрешить лишь столько, сколько лицензий для сервера Netware Вы 
реально купили, минус 2 (один — подключение самого сервера, второй — 
подключение шлюза). Поэтому организовать шлюз к серверу, имеющему 
всего 2 клиентские лицензии, невозможно. 


Примечание: Шлюзовый сервис является весьма ресурсоемким. Для его нор- 
мального функционирования желательно иметь на сервере не менее 52 Мб 
оперативной памяти. 


Обеспечение прозрачного доступа клиентов 
сети Netware к файлам и принтерам доменов 
Windows МТ Server 


Ну что ж, одна задача решена. Но не кажется ли Вам, что она поставила пользо- 
вателей сети Microsoft Windows в несколько привилегированное положение? У 
них прозрачный доступ к двум сетям одновременно, а вот клиенты Netware 
вынуждены довольствоваться одной своей сетью либо устанавливать дополни- 
тельное клиентское обеспечение для доступа к файлам и принтерам МТ Server. 
Хорошо, если таких клиентов у Вас немного, а если несколько десятков? Вспом- 
ните и про ограничения, связанные с объемом оперативной памяти. 
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Долгое время многие пользователи мечтали о возможности для NT Server “при- 
кидываться” сервером Netware. Новый программный продукт Microsoft — Ейе 
and Print Services for Netware (FPNW) — сделал мечту реальностью. 


Этот сервис устанавливается как еще один дополнительный сетевой сервис. Для 
его конфигурирования укажите: 


> имя сервера, под которым он будет виден для клиентов Netware (по умолча- 
нию это NetBIOS имя компьютера плюс окончание “ FPNW”.); 


» ресурсы, предоставляемые как системный том сервера (SYS:); 
» ограничения на доступ к ресурсам. 
Уже из перечисленных требований видно, что по сути Вы начинаете админис- 


трировать совершенно другой сервер, не имеющий ничего общего с сервером 
Windows МТ. 


Установив сервис и перезагрузив компьютер, зайдите в Панель управления, от- 
кройте раздел Network и, выбрав в списке сетевых сервисов File and Print 
Services for Netware, настройте его производительность. 


File and Print Services for NetWare Configuration 


Tuning 
@ Minimize Memory Usage 
о Balance between Memory Usage and Performance 


© Maximize Performance 


Диалоговое окно настройки сервиса File and Print Services for Netware. 


Ha выбор предлагаются три возможности (см. рисунок): 


> Minimize Memory Usage (минимальное использование памяти); 


> Balance between Memory Usage and Performance (баланс между исполь- 
зованием памяти и производительност ЬЮ); 


> Maximize Performance (максимальная производительность). 
То, что Вы укажете, зависит OT роли сервера. Если он в основном выполняет 


функции сервера файлов и печати для сети Windows или является сервером 
приложений, выберите первую опцию. Если же это только сервер файлов и пе- 
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чати, причем обслуживающий в равной степени пользователей Windows и 
Netware, выбирается вторая возможность. Ну и наконец, если сервер занимается 
главным образом обслуживанием клиентов Netware, выбирается третья опция. 


Поскольку на одном и том же компьютере начинают функционировать два 
совершенно разных сервера, ресурсы, предоставленные через File Manager в 
совместное использование в сети Microsoft Windows, останутся недоступными 
для клиентов сети Novell. Их надо предоставить повторно, но уже средствами 
вновь установленного сервиса. 


Обратите внимание на новый пункт меню в File Manager — FPNW: именно 
здесь содержатся функции предоставления и разграничения доступа. Первое, к 
чему придется привыкнуть, — это к терминологии, принятой в продуктах 
Novell. Оперировать придется с томами (volumes), в роли которых Вы можете 
представить любой каталог на жестких дисках Вашего сервера. Вы можете со- 
здавать новые тома, редактировать существующие и удалять ненужные. 


Yolumes оп NIFYODORZP120 


Диалоговое окно управления тамами сервиса FPNW. 


Создавая или редактируя каждый том, можно указать максимальное число одно- 
временных подключений к тому и права доступа к нему. Помните: Вы обязаны 
указать такое количество одновременных подключений, какое, с одной сторо- 
ны, не повлияет на производительность сервера, а с другой — не будет проти- 
воречить принятой лицензионной политике. 


Volume Мате: |1Т001$ — af - Volume Мате: SYS 
Path: D:\NTTOOLS ео. ... Path: D:\ 


User Limit поз User Limit 
© Unlimited els © Unlimited 


© Atom User © dion User 


Диалоговые окна Create Volume и Volume properties. 


Определяя права доступа, мы подходим к тому, что объединяет эти два сервера, 
— к общему механизму защиты Windows МТ. 
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Права доступа можно предоставить лишь для тех учетных записей и групп, что 
существуют в домене. Клиент сети Netware, не имеющий учетной записи в до- 
мене, не сможет воспользоваться этим сервисом точно так же, как в рассмот- 
ренном выше примере клиенты сети Windows не могли получить доступ к сер- 
веру Netware, не имея на нем учетной записи. Это по-прежнему два разных 
мира, хоть и обитающие на одной планете. 


Кроме того, если созданный том расположен на разделе диска, имеющем фор- 
мат NTFS, то доступ к файлам и каталогам дополнительно ограничивается спис- 
ками контроля доступа (см. подробнее главу Файловая система NTFS). 


Помимо перечисленных, добавляются несколько других параметров, располо- 
женных в диалоговых окнах с соответствующей функциональностью в домене. 


Logon Workstations 


User fyodorz (Fyodo: Zubanov) 


@ User Мау Log On To All Workstations 
г () User Мау Log On То These Workstations 


User Environment Profile 


User: fyodorz (Fyodos Zubanov} 


Е : User Profiles ‘ 
= Profile Path: 

© User May Log On To All NetWare Compatible Workstations ase Pehl cae 

$) User May Log On То These NetWare Compatible Work stations: Logon Script Name: 


Network Address Node Address 


Home Directory 
® Local Path: | | 
© Connect Е] то | 


NetWare Compatible Home Directory Relative Path: pew 


Диалоговые окна Logon Workstations и User Environment Profile после 
установки FPNW. 


В диалоговом окне Logon Workstations указываются рабочие станции, с KOTO- 


рых возможен вход в домен, принадлежащие не только сети Microsoft Windows, 
но и Netware. 


В диалоговом окне User Environment profile можно указать домашний каталог 
относительно корневого каталога Netware, например D:\SYSVOL. 


rr 


Внимание: Версия FPNW, выпущенная для Windows NT Server 3.51, несовмести- 


ма с сервером 4.0. Для него необходимо установить соответствующую версию 
сервиса. 
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Централизованное управление 
серверами Netware 


Вспомните, как часто в этой главе мы говорили о “двух мирах”. Содержание 
различных учетных записей для домена Windows МТ и серверов Netware тормо- 
зило их совместное использование. Вот почему с таким интересом встречен 
дополнительный продукт Microsoft Directory Service Manager for Netware 
(DSMN). 


Этот дополнительный сетевой сервис позволяет синхронизировать учетные 
записи домена МТ Server и учетные записи одного или нескольких серверов 
Netware версий 2.х и 3.X. как бы включив их в один домен. После такой синхро- 
низации пользователи домена Windows МТ получают прозрачный доступ к ре- 
сурсам серверов Netware и имеют одинаковые права и привилегии, имена учет- 
ных записей и пароли. 


Для синхронизации сервера с доменом используется утилита Sincronization 
Manager. Выбрав из списка доступных сервер Netware, который необходимо 
синхронизировать с доменом, Вы можете указать группы пользователей доме- 
на, которые будут “делегированы” на выбранный сервер. 


Внимание: Для подключения к выбранному серверу используется учетная за- 
пись с правами супервизора (Supervisor) на выбранном сервере. 


Указать список групп можно вручную или создав файл (mapping file), в котором 
перечислены необходимые группы. Удобно создать специальную группу в до- 
мене (например, Novell Users), включив в нее учетные записи пользователей, 
которые должны иметь доступ к определенному серверу Netware. 


Важная особенность этой утилиты — возможность выполнения пробной син- 
хронизации (Trial Synchronisation). Более того, настоятельно рекомендуется 
выполнять эту процедуру при каждом подключении к домену нового сервера. 


Directory Service Manager for NetWare автоматически синхронизирует вклю- 
ченные в домен и временно не работавшие серверы. После подключения к сети 
такой сервер можно синхронизировать принудительно, не дожидаясь выполне- 
ния обычного цикла синхронизации. Для этого используется одна из следую- 
щих команд: 


Synchronize Selected Server — посылает обновленную информацию об учет- 
ных записях на выбранный сервер NetWare. Посылается информация только об 
учетных записях, еще не полученных этим сервером. 
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Synchronize All Servers — посылает информацию об обновленных учетных 
записях на все серверы NetWare в домене. Каждый сервер получает только не- 
обходимую информацию об обновлениях. 


Fully Synchronize Selected Server — посылает всю информацию об учетных 
записях на выбранный сервер NetWare. Эта команда используется только при 
полной рассинхронизации сервера с доменом. 


Fully Synchronize All Servers — посылает всю информацию об учетных запи- 
сях на все серверы NetWare, включенные в домен. Эта команда используется 
только при полной рассинхронизации нескольких серверов. 


После установки DSMN внешний вид диалогового окна User Properties (в User 
Manager for Domains) несколько меняется за счет добавления нового флажка 
Maintain Netware Compatible Logins и кнопки NW Compat. 


Эти новые функции становятся доступными только для учетных записей, деле- 
гированных хотя бы на один сервер Netware. Но реально член группы, делеги- 
рованной на сервер, получит доступ к его ресурсам только после того, как для 
него будет отмечен флажок Maintain Netware Compatible Logins. 


User Properties 


Username:  fyodorz 


Full Name: Fyodor Zubanov 
Confirm 
Password 


С] User Must Change Password at Next Logon 
Е] User Cannot Change Password 

xX Password Never Expires 

[] Account Disabled 

[С] Account Locked Out 


Диалоговое окно User Properties после установки DSMN. 
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В диалоговом окне NetWare Compatible Properties указываются параметры, 
значительно влияющие на защищенность Вашей системы и во многом анало- 
гичные тем, что задаются в диалоговом окне Account Policy (см. раздел Управ- 
ление политикой ведения учетных записей). 


NetVYare Compatible Properties 


User: fyodorz (Fyodor Zubanoy) 


Object 10: e9031000 
(] NetWare Compatible Password Expired 


© Unlimited Grace Logins 
Limit Grace Logins 


Allow Grace Logins 


Remaining Grace Logins: [6 | 


Concurrent Connections 
© Unlimited 
®) Allow а 4 Concurrent Connections 


Диалоговое окно Netware Compatible Properties. 


Подчеркну: несмотря на TO, что сервер как бы включается в домен, политика 
ведения учетных записей остается у него самостоятельной, хоть и управляется 
средствами NT Server. 


A BOT параметры, влияющие на защищенность системы: 


Netware Compatible password Expired — отметьте этот флажок для ограниче- 
ния срока жизни пароля. И тогда при первой же регистрации в домене пользо- 
вателю Netware будет предложено изменить пароль. Отмечая этот флажок, пре- 
доставьге хотя бы одно значение Grace Login. 


Limit Grace Logins — число дополнительных попыток регистрации в системе 
после истечения срока жизни пароля. Эти попытки предоставляют пользовате- 
лю возможность изменить пароль. 


Concurrent Connections — число одновременных подключений к серверу. Для 
единообразия с серверами Windows МТ установите неограниченное число под- 
ключений (Unlimited). 


Login Script — чтобы отредактировать сценарий регистрации на сервере Net- 
ware, щелкните кнопку Edit Login Script. 
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Внимание: Версия DSMN, выпущенная для Windows МТ Server 3.51, несовмести- 
ма с сервером версии 4.0. Для него необходимо установить соответствующую 
версию сервиса. 


Переход от сервера Netware 
к Windows МТ Server 


Полностью перейти с Netware на Windows МТ администратора сети могут 
заставить разные причины. Как выполнить такой переход быстро и безопасно, 
не потеряв ни данных, ни пользователей? Можно, конечно, вручную создать 
учетные записи для всех пользователей сервера Netware в домене Windows МТ, 
прописать им соответствующие права и привилегии, исправить сценарии входа 
в систему, перенести принадлежащие им ресурсы и т.д. Представляете, сколько 
это займет времени и сколько ошибок при этом можно допустить, если у Вас 
несколько серверов и сотни пользователей? 


Для облегчения такой задачи в Windows МТ Server имеется утилита Migration Tool 
Лог Netware. По умолчанию для нее не создается значок в Program Manager, по- 
этому многие даже и не подозревают о ее существовании. Для работы с этим ин- 
струментом запустите файл %systemroot%\system32\nwconv.exe. 


Migration Tool позволяет перенести учетные записи пользователей и групп, a 
также файлы и каталоги с серверов NetWare 2.x и 3.х на компьютеры с Windows 
NT Server, полностью сохранив информацию об учетных записях и атрибуты 
защиты файлов и каталогов. 


Замечание: Информация о защите файлов и каталогов сохранится только 
при переносе их на раздел NTFS. 


Внимание: Для осуществления переноса необходимо минимум 2 компьютера: 
сервер Netware и сервер Windows МТ. Перед выполнением переноса установите 
на NT Server сервисы NWLink IPX/SPX compatible и Gateway service for Net- 
ware. Кроме Toro, зарегистрируйтесь на сервере Netware с правами супервизо- 
pa (Supervisor), а на сервере NT надо быть членом группы администраторов. 


Запустив утилиту, в появившемся диалоговом окне укажите сервер Netware, 
с которого выполняется перенос, и сервер Windows МТ, на который переносят- 
ся данные. Можно указать несколько серверов того и другого типа. 
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File 


jntfyodorzp120 


Окно программы Migration Tool for Netware. 


Важная особенность этой программы — возможность выполнить пробную миг- 
рацию (Trial migration), что позволит исключить ошибки переноса. 


Перенося учетные записи групп и пользователей с сервера NetWare на компью- 
тер с Windows МТ Server, Migration Tool автоматически создает учетные записи 
на первичном контроллере того домена, в который входит выбранный сервер. 
Потом они тиражируются на другие контроллеры домена. 


По умолчанию переносятся учетные записи всех пользователей сервера 
NetWare, кроме тех, чьи имена совпадают с уже существующими в домене. При 
этом в журнал заносится сообщение об ошибке, которое можно проанализиро- 
вать во время выполнения пробного переноса. Если имя переносимой группы 
совпадает с именем группы в домене, эта группа также не будет перенесена, но 
сообщение об ошибке в журнал не заносится. 


Дополнительно используются следующие умолчания переноса: 


» переносимые учетные записи теряют пароль; 


» переносятся ограничения, накладываемые на пароли на сервере NetWare, 
и параметры блокировки учетных записей; 


> группы и пользователи с правами Supervisor, Workgroup Manager и User 
Account Manager переносятся в домен Windows МТ без административ- 
ных привилегий. 
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Выполнив пробную миграцию и анализ журнала (файл LOGFILE.LOG), можно 
подстроить параметры переноса или использовать файл соответствий для кор- 
ректировки следующих параметров: 


перенос только файлов и каталогов; 


пароль, равный имени пользователя или одинаковый для всех; 


способ обработки совпадающих имен групп; 


> 

> 

> способ обработки совпадающих имен пользователей; 

> 

» ограничения учетных записей, принятые в Windows МТ по умолчанию; 
> 


добавление пользователей с правами Supervisor в административную группу 
Windows МТ. 


При переносе файлов и каталогов с сервера NetWare на сервер Windows МТ 
права доступа к ним транслируются в соответствующие права Windows МТ. 


Ниже приведена схема трансляции прав доступа к каталогам. 


NetWare Windows NT 
Supervisory (S) Full Control (All) (АП) 
Read (R) Read (RX) (RX) 

Write (W) Change (RWXD) (RWXD) 
Create (>) Add (WX) (not specified) 
Erase (Е) Change (RWXD) (RWXD) 
Modify (M) Change (RWXD) (RWXD) 
File Scan (F) List (RX) (not specified) 
Access Control (A) Change Permissions (P) 


В следующей таблице показано соответствие прав доступа к файлам: 


NetWare Windows NT 
Supervisory (S) Full Control (All) 

Read (R) Read (RX) 

Write (W) Change (RWXD) 

Erase (E) Change (RWXD) 
Modify (M) Change (RWXD) 
Access Control (A) Change Permissions (P) 


Права Create (С) и File Scan (Е) игнорируются при переносе файлов. 


Кроме прав доступа, выполняется перенос атрибутов файлов. В следующей 
таблице приведено соответствие между атрибутами: 
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Атрибуты файлов NetWare Атрибуты файлов Windows NT 


Read Only (Ro) 
Delete Inhibit (D) 
Rename Inhibit (R) 
Archive Needed (A) 
System (SY) 
Hidden (H) 

Read Write (Rw) 


Read Only (R) 
Read Only (R) 
Read Only (R) 
Archive (A) 
System (S) 
Hidden (H) 


Her — файлы, He имеющие атрибута В, 
доступны и для чтения, и для записи. 


Следующие атрибуты файлов NetWare не поддерживаются в Windows МТ и 
игнорируются: Copy Inhibit (С), Execute Only (X), Indexed (1), Purge (P), Read 
Audit (Ra), Shareable (SH), Transactional (Т), и Write Audit (Wa). 


Так же, как и в Windows NT Server, учетные записи пользователей Netware могут 
иметь различные ограничения. В приведенных ниже таблицах показано соот- 
ветствие переносимых ограничений в двух случаях: при переносе на компью- 
тер с установленным сервисом File and Print Services for Netware и на компь- 


ютер, на котором он не установлен. 


Перенос ограничений учетных записей Netware на сервер Windows NT без 
установленного сервиса FPNW 


Ограничения 
учетных записей 
Netware 


Expiration Date 


Account Disabled 


Limit Concurrent 
Connections 


Require Password 


Minimum Password 
Length 


Force Periodic 
Password Changes 


Davs between 
forced changes 


Grace Logins 


Allow user 
to change password 


Эквивалент 


Windows NT Server 


Expiration Date 


Account Disabled 


Отсутствует 


Permit Blank 
Password 


Minimum Password 
Length 


Password Never 
Expires 


Maximum 
Password Age 


Отсутствует 


User cannot 
change password 


Как 
выполняется перенос 


Для каждой индивидуальной 
учетной записи. 


Для каждой индивидуальной 
учетной записи. 


Не переносится. 


В виде политики всех учетных 
записей. 


В виде политики всех учетных 
записей. 


Для каждой индивидуальной 
учетной записи. 


В виде политики всех 
учетных записей. 


Не переносится. 


Для каждой индивидуальной 
учетной записи. 
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Перенос ограничений учетных записей Netware на сервер Windows NT без 
установленного сервиса FPNW (продолжение) 


Ограничения 

учетных записей Эквивалент Как 

Netware Windows NT Server выполняется перенос 

Require unique Password uniquness В виде политики всех учетных 

passwords записей. 

Station restrictions Отсутствует Не переносится. 

Time Restrictions Logon Hours Для каждой индивидуальной 
учетной записи. 

Intruder Detection/Locout Account Locout В виде политики всех учетных 
записей. 

User disk volume Отсутствует Не переносится. 


restrictions 


Дополнительные ограничения учетных записей, переносимые 
на компьютер с установленным сервисом FPNW 


Эквивалент 
Ограничения Windows NT Server Как 
бюджетов Netware (c FPNW) выполняется перенос 
Limit Concurrent Limit Concurrent Для каждой индивидуальной 
connections connections учетной записи. 
Grace Logins Grace Logins Для каждой индивидуальной 
учетной записи. 
Station restrictions Station restrictions He переносится. 
Login Scripts Login Scripts Для каждой индивидуальной 


учетной записи. 


Завершив процедуру переноса, замените клиентское программное обеспечение 
на бывших рабочих станциях сети Netware — это позволит им сразу зарегист- 
рироваться в домене Windows МТ. Если Вы указали на необходимость незамед- 
лительной смены пароля для вновь добавленных пользователей, они это сдела- 


ют при первой регистрации, снизив тем самым вероятность проникновения 
посторонних в сеть. 


ГЛАВА 9 


Построение глобальных сетей 
и работа с Internet 


Глобальная сеть требует обеспечения связи между несколькими локаль- 
ными, так чтобы пользователи HE задумывались о получении и безопас- 
ности доступа к ресурсам в удаленной сети. Заманчивая перспектива 
задействовать для этих целей Internet до недавнего времени отверга- 
лась из-за очень высокой степени риска проникновения в корпоратив- 
ную систему не в меру любопытного ‘хакера”. Разработанные для 


Windows МТ новые средства позволяют отнестись к этой проблеме с 
большим оптимизмом. 
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Удаленный доступ в Windows МТ 


При словах “глобальная сеть” Вы, конечно, сразу вспомните об Internet — пер- 
вой общедоступной глобальной сети. Возникнут мысли о процессе подключе- 
нии к Internet, телефонных линиях, маршрутизации, адресных сетках и т.п. 
Вместе с тем в глобальную корпоративную сеть объединяют сети большого 
предприятия. Такие сети есть, например, в компаниях Microsoft, Digital, IBM и др. 
Кроме того, в любой организации хватает мобильных пользователей, путеше- 
ствующих по всему свету с ноутбуками. Возможность подключения к корпора- 
тивной сети в любой точке земного шара им нужна, как воздух. 


В сетях, построенных на основе Microsoft Windows NT, средством объединения 
локальных сетей является Сервер удаленного доступа (Remote Access Server — 
RAS), позволяющий удаленным пользователям работать так, будто они подклю- 
чены непосредственно к сети. Соединение по RAS прозрачно и для клиентов, и 
для сетевых приложений. 


Клиентами сервера удаленного доступа могут быть пользователи Windows МТ, 
Windows 95, Windows for Workgroups, MS-DOS (с установленным сетевым кли- 
ентом Microsoft), клиенты RAS LAN Manager и любой РРР-клиент. 


= Remote Access | (el 
|Options Не i st 


INTERNET 99132376 

INTERNET_KRAS p661465 
p25841 20 
p3619998 


Диалоговое окно Remote Access. 


Windows NT Server RAS позволяет одновременно подключаться 256 удаленным 
клиентам. К Windows МТ Workstation может подключиться только один удален- 
ный клиент. RAS поддерживает протоколы: 


> IP для доступа к сетям TCP/IP, таким как Internet; 

> IPX для доступа к серверам и принтерам NetWare; 
> NetBIOS поверх IPX, TCP/IP или NetBEUI, 
> 


встроена поддержка приложений, использующих Windows Sockets поверх 
TCP/IP или IPX, named pipes, Remote Procedure Call (RPC) и LANManager API. 


Построение глобальных сетей и работа с Internet 243 


Подключение к КА$-серверу производится через обычные телефонные или 
выделенные линии с одним модемом или пулом модемов. Более быстрая связь 
обеспечивается сетями ISDN или Х.25. В Windows МТ 4.0 поддерживается под- 
ключение через порт RS-232C (нуль-модем) или с протоколом Point To Point 
Tunelling Protocol (РРТР). 


RAS позволяет использовать также сервер Windows МТ в качестве хоста Internet 
и предоставлять доступ по РРР Развитые функции защиты делают безопасным 
подключение через сервер удаленного доступа. 


Маршрутизация в Windows МТ 


Глобальную сеть невозможно построить без маршрутизации. Марирутизато- 
ры позволяют осуществлять взаимодействие между локальными и глобальными 
сетями и сетями с различной топологией (например, Ethernet и Token Ring). В 
каждом пакете, пересылаемом в локальной сети, имеется заголовок, поля KOTO- 
рого содержат адреса исходный и назначения. Сравнив заголовки пакетов с 
сегментами сети, маршрутизаторы выбирают наилучший путь для их прохож- 
дения, что повышает производительность сети. На рисунке для пакета, переда- 
ваемого с компьютера X на компьютер Z, лучший путь — через наименышее 
число маршрутизаторов. Даже если маршрутизатор 1 установлен для компьюте- 
ра Х по умолчанию, пакет все равно будет послан через маршрутизатор 2, а 
компьютер Х будет уведомлен о наилучшем маршруте к компьютеру Z. 


Маршрутизатор 1 


Маршрутизатор 3 


Маршрутизация в сети. 
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Многопротокольная маршрутизация 
в Windows МТ Server 


Возможности многопротокольной маршрутизации (Multiprotocol Routing — 
МРК) появились в Windows МТ Server 3.51 с выходом пакета исправлений 2 
(Service Pack 2), те как дополнительный продукт. В четвертой версии эта воз- 
можность встроена в систему. 


MPR, содержащий функции маршрутизации RIP (Routing Information Protocol), 
позволяет использовать Windows NT Server как маршрутизатор между двумя или 
несколькими сетями с применением RIP на IP, ТРХ или Ha TOM и другом одновре- 
менно. Компьютер может выступать и в качестве агента передачи DHCP (DHCP 
Relay agent), что делает возможной передачу сообщения DHCP по сети IP. 


Возможности маршрутизации 


В Windows NT Server сервер удаленного доступа (Remote Access Server — RAS) 
можно использовать для организации маршрутизации между удаленным клиен- 
том и локальной сетью, как показано на рисунке: 


Сервер удаленного Локальная сеть 
доступа 


IPX или IP 


ay 
Удаленный клиент 


Маршрутизация между удаленным клиентом и локальной сетью. 
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Можно организовать маршрутизацию между двумя локальными сетями: 


Сеть Token Ring 
Маршрутизатор RIP 


Сеть Ethernet | 
НЕ и | 


Маршрутизация межд) двумя локальными сетями. 


Организовать маршрутизацию между глобальными сетями через коммутируе- 
мые или обычные телефонные линии невозможно. Единственное исключение 
— плата доступа к глобальной сети (WAN сага), например, Т1 или Frame Relay, 
которая с точки зрения маршрутизатора выглядит как сетевая плата. 


Установка маршрутизации 
между локальными сетями 


На компьютере с Windows МТ Server, исполняющем роль маршрутизатора, дол- 
жны быть минимум две сетевые платы. В зависимости от сети можно устано- 
вить поддержку маршрутизации по IP или по IPX. Перед установкой убедитесь, 
что нужные протоколы в системе уже активны. 


Для установки межсетевой маршрутизации откройте Control Panel, вызовите 
раздел Network, щелкните вкладку Services и добавьге RIP for Internet Protocol 
или RIP for NWLInk IPX/SPX Compatible Transport. Bo время установки RIP 
для NWLink IPX появится сообщение о TOM, что передача NetBIOS Broadcast (тип 
20) неактивна. Если Вы используете NetBIOS поверх IPX, разрешите распрост- 
ранение пакетов типа 20. 
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| Network 


м FIP for Internet Ргоюсо 


Диалоговое окно Network Services. Ymanosue маршрутизацию RIP na IPX, 
сконфигурируйте протокол IPX для разрешения маршрутизации: выбрав 

6 Control Panel настройки протокола IPX, отметьте флажок Enable RIP 
Routing. 


RIP для IP устанавливается как сервис и активизируется автоматически. Как и 
любой сервис, его можно запускать или останавливать в любой момент в со- 
ответствующем разделе в Control Panel. 


Статическая маршрутизация no IP 


Для IP существует два типа маршрутизации: статическая и динамическая. При 
первой Вы ограничены фиксированными таблицами маршрутов (routing tab- 
1е). При второй таблицы маршрутов автоматически обновляются: это снимает 
часть забот с администратора, но увеличивает трафик в больших сетях. 


Чтобы задать статическую маршрутизацию, удалите сервис RIP for IP (если Вы 
его уже поставили), а в Control Panel выберите установки протокола TCP/IP и, 
щелкнув кнопку Advanced, отметьге флажок Enable IP Routing. Эта опция не- 
активна, если в компьютере установлена только одна сетевая плата. 
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Advanced Microsoft TCP/IP Configuration 


Subnet Masks 


IP Address: 
255, 255.255.0 


ИИ 


SubnetMask: 


157.599.216.200 


Windows Networking Parameters 
[С] Enable DNS for Windows Name Resolution x Enable IP Routing 
СЧ Enable LMHOSTS Lookup | Import LMHOSTS 


[] Enable WINS Proxy Agent 


Установка статической маршрутизации. 


В Windows МТ 4.0 в окне настроек протокола TCP/IP щелкните вкладку 
Routing и отметьте флажок Enable IP Forwarding. 


Далее может потребоваться корректировка таблицы маршрутов командой 
route, работа с которой подробно описана в документации на Windows МТ 
server. 


Маршрутизация через коммутируемый 
канал связи 


Сервер удаленного доступа в Windows МТ Server не предназначен для маршру- 
тизации пакетов между локальными сетями через коммутируемые каналы связи. 
Однако при правильной конфигурации компьютеров, выполняющих роль RAS- 
серверов, и других компьютеров в небольшой локальной сети RAS-cepBep мож- 
но использовать как маршрутизатор к Internet или большой сети предприятия 
по TCP/IP. 


Чтобы организовать маршрутизацию между локальной сетью и Internet через 
коммутируемую линию, требуются: 
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> 


компьютер с установленной Windows МТ и подключенными сетевой платой 
и высокоскоростным модемом (или линией ISDN); 


подключение к Internet или сети предприятия по протоколу PPP (Point to 
Point Protocol); 


сеть или подсеть, отличная OT подсети поставщика услуг Internet (Internet 
Service Provider — ISP); 


правильно определенные в реестре параметры конфигурации компьютера, 
выступающего в роли маршрутизатора, а также компьютеров-клиентов (па- 
раметры описаны ниже); 


небольшая по размеру сеть, не требующая динамической маршрутизации, 
обеспечиваемой ВТР (справедливо для сетей, рост которых не предвидится в 
будущем). 


Чтобы использовать имена, а не только ГР-адреса, получите имя домена с помо- 
шью ISP. 


Итак, получив РРР-подключение, Г1Р-адреса для своей подсети (и правильную 
маску подсети) и (дополнительно) имя домена, можно сконфигурировать RAS и 
остальные компьютеры для работы CO шлюзом в Internet. 


Параметры организации маршрутизации 


ый 


На КА5-компьютере, выступающем в качестве маршрутизатора в Internet, 
добавьте в реестре новое значение: 


Ветвь HKEY LOCAL MACHINE 

Ключ System\CurrentControlSet\Services\RasArp\Parameters 
Параметр DisableOtherSrcPackets 

Тип REG_DWORD 

Значение 0 


По умолчанию в заголовок каждого пакета, передаваемого с КА5-компьютера 
по РРР-линии, вставляется адрес этого компьютера в качестве адреса-источ- 
ника. Так как у пакетов, приходящих на сервер удаленного доступа с других 
компьютеров, другие адреса источников, установите параметр DisableOther- 
SrcPackets равным 0, чтобы они просто передавались через РРР 


Если Ваша подсеть принадлежит к той же логической подсети, что и сеть ISP, 
установите новое значение в реестре компьютера, выполняющего роль мар- 
шрутизатора. 


Ветвь HKEY LOCAL MACHINE 

Ключ Svstem\CurrentControlSet\Services\RasMan\PPP\IPCP 
Параметр PriorityBasedOnSubNetwork 

Tun REG _DWORD 


Значение 1 
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Компьютер можно подключить к локальной сети через сетевую плату и КА5. 
Если RAS и сетевая плата принадлежат одной сети, а также отмечен флажок 
Use Default Gateway Оп Remote Network, все пакеты посылаются через 
RAS, хотя два адреса располагаются в разных подсетях одной сети. 


Например, если сетевой плате назначен адрес 17.1.1.1 (маска 255.255.0.0), а 
для RAS — 17.2.1.1, то через RAS будут посылаться все пакеты 17.х.х.х. Если 
установить указанный выше параметр, то пакеты 17.2.х.х будут пересылаться 
через RAS, а пакеты 17.1.х.х — через сетевую плату. 


Сконфигурируйте шлюз, выбираемый по умолчанию (default gateway) на 
всех компьютерах локальной сети. 


Шлюз устанавливается в параметрах протокола TCP/IP в Control Panel. 


| Microsoft TCP/IP Properties 


Surcom Creditlard Etherne 


х 


На всех компьютерах Вашей локальной сети в качестве Default Gateway 
укажите адрес сетевой платы компьютера, выполняющего роль маршрутиза- 
тора, а на нем самом этот параметр оставьте незаполненным. На рисунке 
показан пример конфигурации сети: 
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internet 


Поставщик услуг 
Internet - ISP 


205.84.169.5 - адрес IP 


Адреса подсети 


С 198.220.250.1 по 
198.220.250.16 


198.220.250.1 - адрес IP 
255.255.255.240 - маска 


RAS компьютер в качестве 
маршрутизатора 


Адреса подсети 


С 198.220.250.17 по 
198.220.250.32 


198.220.250.17 - адрес Р 
255.255.255.240 -маска 
Ничего-шлюз по умолчанию 


198.220.250.18 - адрес IP 198.220.250.19 - адрес IP 198.220.250.20 - адрес IP 
255.255.255.240 -маска 255.255.255.240 маска 255.255.255.240 -маска 


198.220.250.17 -шлюзпо  198.220.250.17 -шлюзпо 198.220.250.17 - шлюз по 
умолчанию умолчанию умолчанию 


Пример конфигурации для маршрутизации между локальной 
сетью u Internet. 


Повышение пропускной способности канала 


Используя в качестве линии связи между двумя локальными сетями телефонные 
каналы, Вы обрекаете себя на довольно низкую скорость обмена. Сегодня это 
9600-19200 Кбит/сек. Конечно, для нормального взаимодействия двух локаль- 
ных сетей этого явно недостаточно. 


Multilink — новая возможность Windows МТ 4.0 — позволяет соединить два 
компьютера по нескольким телефонным каналам параллельно. Суммарная про- 
пускная способность такого канала увеличивается пропорционально числу за- 
действованных телефонных линий. 
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Сеты Р uau IPX 


RAS серве 
Телефонное ee 


подключение 


Клиент RAS 


Использование параллельных телефонных каналов для повышения 
пропускной способности. 


Для обеспечения этой возможности в параметрах сервиса удаленного доступа 
на сервере отметьте флажок Enable Multilink. На клиентской стороне в на- 
стройках конкретного соединения вместо конкретного порта и модема укажи- 
те Multiple Lines. Данная функция доступна как для модемной связи, так и для 


сетей ISDN. При инициации связи со стороны клиента будет одновременно 
осуществляться доступ по всем каналам сразу. 


Настройка клиента на использование сразу нескольких каналов связи. 
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Сети Х.25 


Windows NT RAS поддерживает подключение к сетям Х.25. Доступ можно осуще- 
ствить двумя способами: через Асинхронные ассемблеры/дизассемблеры паке- 
тов (Asyncronous Packet Assembler/Disassebler — PAD) и непосредственно — че- 
рез специальные платы (smart cards). Первое используется только для клиентов 
(Windows или Windows МТ), а второе — как для клиентов, так и для серверов. 


Внимание: Текущая версия сервера удаленного доступа поддерживает работу 
только с PAD, настроенными на передачу 8 битов данных, 1 стоп-бита и отсут- 
ствие бита четности. Обратитесь к документации на используемый PAD, чтобы 
сконфигурировать его соответствующим образом. 


На рисунке показано подключение клиента к сети корпорации через сеть Х.25 
с использованием PAD. Получив пакет из сети Х.25, PAD преобразует его в пакет 
коммуникационной линии, а пакеты, поступающие из нее — в пакеты Х.25. Это 
делает возможным взаимодействие между клиентом и удаленной сетью. 


Сервер приложений 


Удаленный клиент 
Windows МТ 
ook : : Server, NetWare 
Cepse аленного | > 1 Server. UNIX, 
oe gap ities С _ реза LAN Manager 
установленной 
платой Х.25 


Подключение клиента к корпоративной сети через сеть Х.25 
с использованием PAD. 


Кроме подключения через РАО, две сети можно связать и непосредственно по 
Х.25. Для этого в компьютерах, функционирующих как серверы удаленного 
доступа, установите специальные платы, выполняющие роль PAD. С точки зре- 
ния сервера, они являются набором портов связи (иногда — обычной сетевой 
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платой). На рисунке показано непосредственное подключение клиента к сети 
через X.25. 


Серверприложений 


Я 


Серверудаленного 
AocTynoc Sk я 
установленной Windows МТ 
платой Х.25 Server, NetWare 
@ Server, UNIX, 
LAN Manager 


Удаленный клиент с 
установленной 
платой Х.25 


Непосредственное подключение клиента к корпоративной 
сети через сеть Х.25. 


В таблице сравнивается непосредственный тип подключения с подключением 
через PAD. 


PAD Непосредственное подключение 
Экономия за счет отказа Требует дорогих выделенных линий. 

от использования выделенных линий. 

Позволяет подключаться из любого Подключение возможно только 

места, где есть телефон: отеля, из определенных мест. 

аэропорта, квартиры и тд. 

Требуется два шага для подключения. Соединение устанавливается за один шаг. 
Ограничивает скорость связи Используется скорость выделенной 
максимальной скоростью линий линии (56 К). 


и используемых модемов. 


Меньше возможностей Более высокая надежность. 
по настройке PAD. 


Доступен только для клиентской Доступно как клиенту, так и серверу. 
части. 


Для обеспечения работы установите у специализированной платы Х.25 следую- 
щие Х.3-параметры. 
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Номер параметра Параметр X. 3 Величина 
1 PAD Recall 0 
2 Echo 0 
= Data Fwd. Char 0 
4 Idle Timer 1 
2 Device Ctrl 0 
6 PAD Service Signals 1 
7 Break Signal 0 
8 Discard Output 0 
2 Padding after CR 0 
10 Line Folding 0 
11 не устанавливается 

12 Flow Control 0 
15 Linefeed Insertion 0 
14 Padding after LF 0 
15 Editing 0 
16 Character Delete 0 
17 Line Delete 0 
18 Line Display 0 
19 Editing PAD Srv Signal 0 
20 Echo mask 0 
Zl Parity Treatment 0 
22 Page Wait 0 


Для организации маршрутизации между локальными сетями, соединенными 
Х.25, устанавливается дополнительный продукт фирмы EICON Technologies — 
WAN Services for Windows NT и описанный выше Multiprotocol Router (MPR). 
С точки зрения этого пакета, специализированная плата X.25 является обычной 


сетевой платой, что позволяет организовать маршрутизацию RIP. 


Point-to-Point Tunelling Protocol (PPTP) 


i 


@2ee¢92 29 8 8 


Новая сетевая технология PPTP, появившаяся в 4 версии Windows МТ, 
позволяет организовать виртуальные корпоративные сети (ВКС) путем 
безопасного соединения локальных сетей через Internet. 


РРТР делает возможным перенос всей аппаратной части (модемов или 
плат ISDN) с сервера удаленного доступа Windows МТ на Фронтальные 


эф о ооо ооо ооо ооо ооо ооо оо ооо ооо ооо ооо ооо ооо оо ооо ооо$ 
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Процессоры (Front-End Processors — ЕЕР). Благодаря РРТР клиенты могут 
осуществлять доступ к корпоративной сети из любой точки земного 
шара, подключившись к Internet (через ISP или непосредственно). В лю- 
бом случае такое подключение выполняется совершенно безопасно и 
использует механизмы шифрования. Поддерживаются протоколы IP, IPX 
и NetBEUI. 


РРТР рассматривает существующую корпоративную сеть как PSTN, ISDN 
или Х.25-сеть. Виртуальная глобальная сеть поддерживается общедоступ- 
ными каналами, например, Internet. Прямая выгода очевидна: вместо до- 
рогостоящих междугородних или международных каналов используется 
стандартный и более дешевый канал. На рисунке показана организация 
связи двух локальных сетей через Internet. 


Сеть IP или IPX 


RAS-cepsep 


Internet 


Телефонное Pee Туннель PPTP 
подключение - 


Клиент RAS ISP РРР-сервер 


Туннель РРТР 


Cetb IP nau IPX 


Использование протокола РРТР для связи двух локальных сетей 
через Internet. | 


Для защиты канала РРТР применяет алгоритмы шифрования Password 
Authentication Protocol и Challenge Handshake Authentication Protocol. 
Кроме того, РРТР позволяет использовать Internet как основную магист- 
раль для сетей NetBEUI или ГРХ за счет инкапсуляции и шифрования РРР- 
пакетов. Так что виртуальная корпоративная сеть не обязательно должна 
работать только по TCP/IP. 


Для установки фильграции РРТР вызовите в Control Panel диалоговое 
окно конфигурирования протокола TCP/IP, выберите вкладку Properties 
и щелкните кнопку Advanced. В появившемся диалоговом окне потметь- 
те флажок Enable PPTP Filtering. 
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] Advanced IP Addressing | | 


[1] Xircom CreditCard Ethernet+Modem 28.8 


Внимание: Выбрав фильграцию PPTP для сетевой платы, Вы тем самым 
запрещаете этой плате использование любых других сетевых протоко- 
лов. Пример такого режима работы — компьютер с несколькими установ- 
ленными сетевыми платами, одна из которых (с активизированной 
фильграцией PPTP) подключена к Internet, а остальные — к локальной 
сети. Внешние клиенты смогут получить доступ по РРТР к этому компью- 
теру, а значит, и к корпоративной сети. 


ЖИВАЯ. 


Обеспечение безопасности 
при удаленном доступе 


Система защиты Windows МТ Server интегрирована с RAS. Учетные записи поль- 
зователей любого домена могут применяться удаленными пользователями для 
доступа. Во время соединения аутентификация может шифроваться. 


Доменная основа защиты 


Серверы удаленного доступа, использующие доменную модель защиты 
Windows МТ Server, либо группируются в одном домене, либо распределяются 
по нескольким доменам, между которыми можно установить доверительные 
отношения. 
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Централизованные домены 


Размещение всех серверов удаленного доступа в одном домене упрощает цен- 
трализованное администрирование, так как при этом надо работать только с 
одной базой бюджетов, что позволяет администратору управлять сразу всеми 
пользователями и серверами RAS. 


Централизованное администрирование не означает, что все серверы должны 
физически находиться в одном месте. Так как домен — логическая структура, 
серверы могут реально располагаться в разных местах, но при этом приналле- 
жать к одному домену. 


Если в подразделениях свои собственные учетные записи пользователей, уста- 
новите доверительные отношения, но серверы удаленного доступа будут управ- 
ляться централизованно. Принадлежность всех серверов RAS к одному домену 
позволяет управлять несколькими серверами одновременно. 


Не обнаружив пользователя в том домене, где находится сам, сервер удаленного 
доступа ищет его во всех доверяемых доменах и принимает первый отклик. 
Если отклик приходит из домена, в котором у данного пользователя другой 
пароль или нет привилегии удаленного доступа, то аутентификации не проис- 
ходит, даже если в другом домене пользователь обладает привилегией удален- 
ного доступа. 


Распределенные домены 


В небольших организациях, где важно локальное управление, или в организа- 
циях без централизованной системы защиты в каждой группе могут быть свои 
домены удаленного доступа. Для взаимодействия между ними установите дове- 
рительные отношения, сгруппировав в одном домене или распределив между 
несколькими функции защиты. 


Привилегия удаленного доступа 


Чтобы подключиться к сети через сервер удаленного доступа, пользователь дол- 
жен обладать привилегией удаленного доступа. Она предоставляется командой 
Permissions из меню Users в программе Remote Access Admin. Можно предо- 
ставить эту привилегию сразу всем бюджетам домена (щелкнув кнопку Grant 
All) или отдельным пользователям (выбрав нужное имя в списке и пометив 
флажок Grant dialin permission to user). 


В защищенных системах, естественно, не следует предоставлять удаленного 
доступа бюджету Guest. 
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Remote Access Ре $10п5 


Admin 

Administrator 
Anonymous 

dimaa 

FPNW Service Account 
itodoarz 


fyodorz95 


Grant dialin permission to user 


Call Back 


@® No Call Back 
eS Set By Caller 


O Preset te: (id 


Диалоговое окно Remote Access Permissions. 


В Windows МТ 4.0 есть и более тонкий способ предоставления привиле- 
гии удаленного доступа, позволяющий назначать или отменять возмож- 
ность удаленного доступа на этапе создания новой учетной записи 
пользователя. Кнопка Dialin в диалоговом окне User Properties раскры- 
вает диалоговое окно Dialin Information, в котором можно для данной 
учетной записи разрешить или запретить удаленный доступ и указать 
способ его осуществления. 


|} Dialin Information 


9 ооо ооо ооо 6 Oe Ge G6 8 SG 


Диалоговое окно Dialin Information. 
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Аутентификация удаленного доступа 


Перед получением доступа в сеть удаленный пользователь должен быть аутен- 
тифицирован сервером удаленного доступа. Эта процедура отделена от процес- 
са регистрации на WindowsNT Server. Пароли пользователей и процедура аутен- 
тификации шифруются при передаче по каналам связи. 


Authentication 


Enter a User Name and Password with access to the 
remote network domain. 


User Name: 


Password: 


Domain: RUS-MOSCOW 


Диалоговое окно Authentication. 


Параметры аутентификации (количество попыток, время аутентификации и 
автоотключение) задаются в реестре. Для их редактирования в редакторе реес- 
тра откройте ключ: 


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 
RemoteAccess\Parameters. 


Число попыток аутентификации 


Для ограничения количества неудачных попыток регистрации удаленного 
пользователя установите значение параметра: 


AuthenticateRetries 


Тип: REG_DWORD 
Диапазон: or 0 до 10 
По умолчанию: Zz 


Время аутентификации 


Для ограничения времени, в течение которого удаленный пользователь может 
быть аутентифицирован, установите значение параметра: 


AuthenticateTime 
Тип: REG_DWORD 
Диапазон: 20 — 600 секунд 


Если клиент в течение этого времени не будет аутентифицирован, пользователь 
автоматически отсоединяется. По умолчанию установлено 120 секунд. 
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Автоотключение 


Можно установить время неактивной работы, по истечении которого клиент 
будет автоматически отключен от сервера удаленного доступа. Для этого задай- 
те значение параметра: 


AutoDisconnect 
Tun: REG DWORD 
Диапазон: О — 1000 минуг 


При соединениях NetBIOS неактивность определяется невозможностью пере- 
дачи данных NetBIOS (например, копирования файлов, доступа к сетевым pe- 
сурсам, отправкой и приемом электронной почты). Если клиенты работают с 
приложениями, использующими датаграммы NetBIOS, можно установить нуле- 
вое значение данного параметра. Если в качестве активного соединения приме- 
няется соединение по протоколу NetBEUI, а сервер сконфигурирован для пре- 
доставления доступа только к этому компьютеру, значения параметра AutoDis- 
connect игнорируются для всех протоколов. 


Нулевое значение параметра деактивизирует функцию автоотключения. По 
умолчанию установлено 20 минут. 


Обратная связь 


При подключении к серверу клиента, сконфигурированного для обратной свя- 
зи, сервер перезванивает клиенту по номеру, который либо предварительно 
задан на сервере, либо сообщается пользователем при подключении. Это позво- 
ляет повысить защищенность системы и исключить случайные звонки. Установ- 
ление обратной связи указывается при предоставлении привилегии удаленного 
доступа. 


Для этого в диалоговом окне Remote Access Permissions программы Remote 
Access Admin выберите одну из опций: 


> Preset To (предустановлено для); 
»> Set By Caller (устанавливается абонентом); 


> No Callback (отсутствует — значение по умолчанию). 


Примечание: Пока пользователь не идентифицирован и с ним не установлена 
обратная связь (если выбрана соответствующая опция), никакие данные ни от 
клиента, ни от сервера не передаются. 
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Параметром для обратной связи является время, по истечении которого сервер 
перезванивает клиенту. Для редактирования этого параметра в Редакторе Реес- 
тра откройте ключ: 


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 
RemoteAccess\Parameters. 


Время устанавливается параметром: 


CallbackTime | 

Тип: REG_DWORD 
Диапазон: 2 — 12 секунд 
По умолчанию: 2 секунды 


Этот параметр индивидуален для каждого клиента. 


Поддержка защитных хостов 


Под защитным хостом подразумевается устройство авторизации, выпускаемое 
сторонней фирмой и применяемое для проверки прав пользователя на подклю- 
чение к серверу удаленного доступа. Такая проверка дополняет функции защи- 
ты, встроенные в сервер удаленного доступа и Windows МТ. 


Примером может служить система с двумя устройствами: защитным XOCTOM и 
карточкой защиты. Защитный хост установлен между модемом и сервером уда- 
ленного доступа. Карточка защиты — небольшое, размером с кредитную кар- 
точку устройство — похожа на калькулятор без кнопок. Каждую минуту на табло 
этой карточки появляется уникальный номер доступа, синхронизированный с 
номерами, рассчитываемыми на защитном хосте. При соединении пользова- 
тель посылает номер с карточки на хост. Если номера совпадают, защитный 
хост пропускает пользователя на сервер удаленного доступа. 


Защитный хост нужно сконфигурировать так, чтобы сервер удаленного доступа 
мог инициализировать модем, не задействовав функций защиты. 


Дополнительные рекомендации по использованию защитных хостов содержат- 
ся в справке для сервера удаленного доступа. 


Отключение пользователей 


Утилита Remote Access Admin позволяет просматривать всех пользователей, 
подключенных к выбранному серверу удаленного доступа, и при необходимо- 
сти отключать их. Отключение выполняется без остановки сервера удаленного 
доступа и незаметно для других пользователей. 
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Remote Access Users 


Server Started 
“stuodorz  NTFPYOOORZ 05.01.96 14:59:58 


Диалоговое окно Remote Access Users. 


Ограниченный доступ к сети 


Используя настройки сети в панели управления, Вы можете: 


> ограничить доступ удаленных пользователей к ресурсам сервера удаленного 
доступа; 


> ограничить доступ удаленных пользователей к определенным частям сети. 


Предоставление доступа только к серверу 


Хотя сервер удаленного доступа можно подсоединить к сети, ограничить дос- 
туп удаленных пользователей администратор способен только самим сервером. 
Это можно указать в настройках сервиса удаленного доступа в панели управле- 
ния для каждого из протоколов, используемых на сервере. На рисунке показано 
диалоговое окно ограничения доступа для протокола NetBEUI: 


RAS Server Ме ВЕ! Configuration 


Allow remote NetBEUI clients to access: 


© This computer only 


Ограничение доступа к сети по протоколу NetBEUI. 


Построение глобальных сетей и работа с Internet 263 


Предоставление доступа только к части сети 


Администратор может ограничить доступ удаленных пользователей к отдель- 
ным частям сети, отменив некоторые связи (Bindings) в панели управления. 
Кроме того, если какие-то сегменты сети применяют различные протоколы, то, 
запрещая доступ к сети для того или иного протокола, можно запретить доступ 
к соответствующим сегментам. 


Подробная информация о связях приведена в Windows NT System Gitide. 


Шифрование данных 


Microsoft RAS применяет шифрование DES, когда и на приемной, и на звонящей 
стороне используется Windows МТ RAS. Клиент RAS может также поддерживать 
шифрование MD5 (используемый разработчиками РРР-клиентов для шифрова- 
ния аутентификации) при подключении к серверам удаленного доступа других 
производителей. При подключении клиентов сторонних фирм сервер Windows 
МТ 3.51 RAS обеспечивает только шифрование DES (но не MD5). 


При соединении двух компьютеров, работающих под Windows МТ 3.5x, процесс 
аутентификации всегда шифруется. Аутентификация может выполняться от- 
крытым текстом при подключении клиентов сторонних фирм. Параметры 
шифрования устанавливаются в панели управления при конфигурировании 
сервиса удаленного доступа. 


Network Configuration 


Dial out Protocols: 


EJ] ТСРАР 
KX] 1px 


Server Settings: 
Allow remote clients running: 


М NetBEUI 
TCP/IP 
IPX 


Encryption settings: 
© Allow any authentication including clear text 


© Require encrypted authentication 
cy) Require Microsoft encrypted authentication 
| LJ Require data encryption | 


Диалоговое окно Network Configuration для сервиса yoarennozo доступа. 
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Конфигурирование клиентской 
части в Windows МТ 4.0 


ИХ ЯВА 


В Windows МТ 4.0 появился ряд функций, которые, с одной стороны, уп- 
рощают построение глобальных сетей на базе ВАЗ, а с другой — могут 
негативно сказаться на защищенности системы. Начнем с неприятного. 


Если в Windows МТ 3.5х для регистрации в удаленной сети использова- 
лись имя и пароль, отличные от имени и пароля пользователя, зарегист- 
рировавшегося на клиентской машине, то непосредственно перед нача- 
лом соединения необходимо было указать нужные имена. Это было не 
очень удобно для пользователя, однако гарантировало защиту от несанк- 
ционированного доступа по RAS. В четвертой версии пользователю дос- 
таточно отметить флажок Save Password во время первой регистрации 
в удаленной сети, чтобы его об этом больше никогда не спрашивали. Не- 
сомненно, это удобно в работе. Щелкнул ярлык — и пошел процесс доз- 
вона и соединения с удаленным сервером. Но здесь очень велик риск, что 
в Ваше отсутствие на рабочем месте (а Вы, скажем, еще пренебрегли 
моими советами по защите компьютера) посторонний так же легко и 
просто войдет в сеть предприятия или попутешествует за Ваш счет по 
Internet. 


Диалоговое окно Connect to... 
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Если уж так получилось и Вы сохранили пароль, то, одумавшись, “забудь- 
те” его. Для этого в настройках конкретной записи в телефонной книги 
(диалоговое окно Edit Phone Book Entry) выберите вкладку Security и 
щелкните кнопку Unsave Password. 


Диалоговое окно Edit Phonebook Entry. 


Да, и не забудьте, подключаясь к серверу Windows МТ, установить опцию 
Accept Only Microsoft Encripted Authentication, которая сделает невоз- 
можным “перехват” пароля. 


ооо ооо ооо ое ооо ооо зоо ооо о оо ооо ооо оо 


Теперь о приятном. 


Выбор альтернативного номера 


Наверняка Вы сталкивались с такой ситуацией: Вы пытаетесь подклю- 
читься к корпоративной сети, чтобы отправить почту или узнать после- 
дние детали заключаемого контракта, а телефон занят. Проклиная все на 
свете, Вы в сотый раз набираете номер... А вот теперь можно указать не- 
сколько альгернативных номеров для дозвона. Более того, номера можно 
расположить по степени важности (или надежности линии, или ее скоро- 
сти). И если занят первый номер, система переключится на второй, по- 
том на третий и т.д. 


ооо о ооо 
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Если при этом отмечен флажок Move successful number to the top of 
the list on connection, то номер, по которому удастся соединиться, будет 
перенесен в начало списка. 


оо ооо ооо ео ооо оо ооо ооо ооо ооо ооо о$е 


Список альтернативных номеров. 


Возобновление связи 


Частенько связь обрывается во время работы. Допустим, Вы сделали зап- 
рос к базе данных, ждете ответа, и тут раздается предательский сигнал: 
линия “приказала долго жить”! Вот тут-то и понадобится такая функция, 
как автоматическое возобновление связи. 
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} 


Конфигурация параметров автоматического возобновления связи. 


Вы можете указать число попыток возобновления (по умолчанию 5), вре- 
мя между попытками (по умолчанию 15 секунд) и время бездействия, по 
истечении которого Вы будете отключены от сервера. Но помните: на 
сервере есть аналогичный параметр, и то, что Вы установили на клиент- 
ской машине время большее, чем на сервере, не является основанием 
полагать, что Вас не отключат раньше. 


Кстати, описанная функция тесно связана с возможностью Подключения 
по требованию. Когда приложение пытается обратиться к ресурсу, недо- 
ступному в локальной сети, но имеющемуся в удаленной, система автома- 
тически предложит связаться по модему с удаленной сетью. 


ооо ео Ree ооо ооо ооо зоо ооо ооо ео eee ee ee & 6G 
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Доступность информации 
об удаленном доступе 


Настраивая общие параметры связи для пользователя, можно определить 
ряд таких, которые влияют на внешнее проявление деятельности клиента 
удаленного доступа. К ним относятся: 


Параметр Описание 
Preview Phone Numbers Если этот флажок отмечен, пользователю 
before dialing доступны номера набираемых телефонов. 


Для обеспечения конфиденциальности 
не отмечайте его. 


Show location Setting Этот параметр существен для мобильных 

before dialing пользователей: в новом городе или стране 
им будет проще разобраться с местными 
телефонными кодами. 


Start Dial-up Networking — Запускает монитор состояния модема перед 

Monitor before Dialing началом дозвона. В зависимости OT настроек 
монитор изображается в отдельном окне или 
на панели задач. 


Show connection Отображает процесс подсоединения 

progress while dialing и аутентификации на экране. 

Close on dial Диалоговое окно Dial-up Networking закрывается 
при удачном соединении. 

Use wizard to create Создает новые записи в телефонной книге 

new phonebook entries с помощью программы-мастера. Удобно для 


неопытных пользователей, слабо разбирающихся 
в вопросах защиты сети. 


Always prompt before Если выбран этот параметр, у пользователя будет 

auto-dialing запрашиваться подтверждение всякий раз при 
возобновлении (или установлении по 
требованию) связи. В системах, выполняющих 
роль маршрутизатора между двумя локальными 
сетями, отмечайте его. 


оо ооо ооо ооо оо вое ооо ооо ово ооо ооо ооо 
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Определение параметров программы дозвона. 


Безопасная работа с Internet 


Подключение к Internet в оследнее время стало необходимостью. Через прото- 
кол TCP/IP можно общаться с миллионами людей и компьютеров по всему 
миру. Появляется доступ к серверам WWW, FTP, Gopher и др. Свой сервер Вы 
можете предоставить для доступа из Internet. Увы, и на солнце есть пятна! Не 
только Вы общаетесь с внешним миром, но и мир будет пытаться войти в кон- 
такт с системами в Вашей сети — и не всегда с теми, что для этого предназна- 
чены. Потому-то столь важно безопасное подключение корпоративной сети к 
Internet. 


Проблему можно условно разделить на две части: 


1. предоставление пользователям корпоративной сети доступа к ресурсам 
Internet; 


2. предоставление пользователям Internet доступа к ограниченным ресурсам 
Вашей сети. 
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Предоставление одностороннего 
доступа в Internet 


Первая часть проблемы решается стандартными приемами, большинство кото- 
рых описано в этой книге: хорошие пароли, жесткая бюджетная политика, огра- 
ничение членов административной группы, применение NTFS и ограничение 
прав доступа, выполнение только действительно необходимых сервисов, жест- 
кие права доступа к каталогам, предоставляемым в совместное использование, 
аудит. Кроме того, отделите некоторые сервисы от сетевых адаптеров. Допус- 
тим, в компьютере установлены две сетевые платы, причем одна подключена к 
Internet, другая — к внутренней сети. Во внутренней сети компьютер выполняет 
серверные функции, в Internet — только клиентские. В этом случае зайдите в 
панель управления и в разделе Network выберите Bindings. Далее деактивизи- 
руйте сервис Server на плате, подключенной к Internet. 


Network Bindings 


BUC Втатоз ог < All Components > |3. 


<-- Upper Bindings Lower Bindings --> 


Server -> NW Link NetBIDS -> NWLink IPX/SPX Compatible Transport 
Server -> NWLink IPX/SPX Compatible Transport 
Server -> WINS Client(TCP/IP] -> Xircom CreditCard Ethernet Ирз Driver -> [1] Хисот CreditCard Е 


Server -> NetBEUI Protocol -> Xircom CreditCard Ethernet Ilps Driver -> [1] Хисот CreditCard Etheq 
Senver-> WINS Chent{TEPAIP] -> [7] Remote Sccess WSN Wrapper : 
Server -> NetBEUI Protocol -> [5] Remote Access WAN Wrapper 

TCPAIP Protocol -> Хисот CreditCard Ethernet Ир; Driver -> [1] Хисот CreditCard Ethernet lips 


Диалоговое окно Network Bindings в Control Panel. 


Если BO внутренней сети используется протокол TCP/IP, запретите маршрутиза- 
цию между сетевыми адаптерами на этом компьютере для фильтрации сетевых 
пакетов, приходящих извне. С этой целью сбросьте флажок Enable IP Routing 
в диалоговом окне Advanced Microsoft TCP/IP Configuration в настройках 
сети в панели управления. 
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Advanced Microsoft TCP/IP Configuration 
В Adures ses Subnet Macks 
IP Address: РАФ: § зе! Racks 


Ses 


Subnet ask: 


Windows Networking Parameters 


J Enable DNS for Windows Name Resolution Fnable IP Routing 
Н Enable LMHOSTS Lookup | Import LMH : 


LC] Frable WINS Proxe Agee 


Диалоговое окно Advanced Microsoft TCPAP Configuration. 


Дополнительно Ha компьютере — шлюзе в Internet — советую установить 3a- 
щитное программное обеспечение, предоставляющее доступ определенным 
пользователям локальной сети к ресурсам Internet и одновременно отсекающее 
доступ из Internet в локальную сеть. Пример такого программного обеспечения 
— Microsoft Internet Access Server. 


Часть локальной сети как ресурс Internet 


Допустим, в Вашей локальной сети имеется сервер Web, доступ к которому осу- 
ществляется из Internet, а администрирование — из локальной сети. Доступ из 
Internet к другим ресурсам сети, естественно, должен быть закрыт. “А что опас- 
ного в этом Internet, вокруг которого так много шума?” — спросите Вы. Дело в 
том, что кроме “цивилизованных” пользователей, в Internet есть и “дикари”, 
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которые только и мечтают о том, чтобы взломать чужую сеть и уничтожить 
птутки ради данные на незащищенных серверах. Рассказывают, одна небольшая 
компания, установив свой Web-cepBep и подключив его к Internet, объявила о 
его существовании, не приняв никаких мер защиты. Увы, на следующий день 
после подключения сотрудники не обнаружили на своем сервере ни одного 
файла! Кто, когда и как это сделал, остается тайной, окутанной мраком. 


Как же защитить сервер от вторжения? Одно из решений этой задачи — 
Microsoft Internet Information Server (IIS), включающий в себя защищенные сер- 
веры Web, FTP и Gopher. 


Особенностью TIS является независимость его консоли администратора 
(Internet Service Manager) от типа используемого протокола. Поэтому можно 
развязать Internet и локальную сеть по протоколам, а на том сервере, где уста- 
новлен IIS, принять обычные для Windows МТ меры защиты. 


К локальной K Internet 


сети 


TCP/IP 


Windows NT 
Server + Internet 
Information Server 


Как показано на рисунке, локальная сеть может быть связана с сервером по 
протоколу IPX, в то время как к Internet он будет подключен по протоколу ТСР/ 
IP, что надежно разделит сети. Чтобы подобным образом сконфигурировать 
сервер, свяжите соответствующие протоколы с разными сетевыми адаптерами 
в диалоговом окне Network Bindings в панели управления. 


По умолчанию NT Server предоставляет доступ ко всем портам TCP, UDP 
и протоколам IP. В Windows МТ 4.0 есть дополнительная возможность 
ограничения доступа. Вызвав.в Control Panel диалоговое окно настроек 
протокола TCP/IP и щелкнув кнопку Advanced, в появившемся диалого- 
вом окне Вы обнаружите флажок Enable Security. Отметив его и щелкнув 
кнопку Configure, Вы попадете в диалоговое окно TCP/IP Security. Здесь 
можно указать, к каким портам TCP или UDP компьютера и по каким 
протоколам IP возможен внешний доступ. Это очень полезное свойство. 
Предположим, Ваш сервер является сервером WWW в Internet и одновре- 
менно — сервером файлов в локальной сети. Тогда, ограничив возможно- 
сти доступа для сетевой платы, подключенной к Internet, Вы обезопасите 
свою сеть от нежелательного вторжения. 


e@@eeseeeseeee?e?ee808826083 @ @ 
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TCP/IP Security 


ater: [[1] Xircom CreditCard Ethemet+Modem 28.8 


ЖА. 


Диалоговое окно TCP/IP Security. 


Если пользователям Internet предоставляется информация Ha Web или ином 
сервере, доступ к ней необходимо ограничить. Это достигается средствами са- 
мого информационного сервера. Например, в IS можно задействовать несколь- 
ко степеней защиты: простую защиту по нешифрованному паролю, шифрован- 
ный пароль, механизм защиты Windows МТ, запрет доступа к серверу опреде- 
ленным пользователям или группам (определяется по адресу ГР и маске) и ме- 
ханизм SSL (Secure Sockets Layer). Определенную роль играет и предоставление 
одному и тому же серверу разных имен. 


ес tor NIFYODORZ aie » Prope for NIFYODORZ SMS 


Возможности ограничения доступа в Microsoft Internet Information Server. 
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В общем случае процесс предоставления доступа можно описать следующей 
схемой. 


Internet Server 
получает запрос 


Разрешенный 
Р- адрес? 


Разрешенный 
пользователь? 


Разрешен 
доступ 
средствами 


IS? 


Разрешен 
доступ к 
NTFS? 


Aoctyn 
разрешен 


Доступ 
запрещен 


Схема предоставления достута к ресурсам Internet Information Server. 


Таким образом, только комплексное использование всех средств защиты, пре- 
доставляемых как самой операционной системой, так и дополнительными про- 
дуктами, может уберечь Вашу сеть от вторжения “прекрасного и яростного” 
мира, называемого Internet. 


ГЛАВА 10 


Использование реестра 


Все мы еще помним MS-DOS — относительно простую операционную 
систему, конфигурирование которой выполнялось несколькими коман- 
дами, вводимыми в текстовых файлах АПТОЕХЕС.ВАТ и CONFIGSSYS. По- 
явление Windows и OS/2 привело к заметному росту количества команд 
в этих файлах и увеличению числа дополнительных. Каждая програм- 
ма, устанавливаемая в системе, считала своим долгом создать свой 
конфигурационный файл. Это, естественно, самым плачевным образом 
сказывалось на надежности работы системы в целом. В Windows NT 
используется новое, единое место хранения инициализационных пара- 
метров — реестр (Registry). 


* 


276 Windows МТ — выбор "профи" 


Назначение реестра 


В Windows 3.x запуск системы, соединение с сетью и выполнение приложений 
требуют многочисленных файлов конфигурации с некоторой формой синхро- 
низации между ними. Операционная система Windows МТ сохраняет и прове- 
ряет информацию конфигурации только в одном месте — реестре. 


> Программа установки (Windows МТ Setup) или другие программы установ- 
ки приложений или аппаратных средств всякий раз при выполнении добав- 
ляют в реестр новые данные о конфигурации. Например, новая информация 
добавляется при установке нового $5СЗ]-адаптера или изменении параметров 
видеоплаты. 


У 


Программа распознавания каждый раз при запуске компьютера под 
Windows МТ помещает данные о конфигурации аппаратных средств в ре- 


естр. Эта информация включает список аппаратных средств, обнаруженных 
в системе. 


> Ядро Windows NT в процессе запуска системы извлекает из реестра различ- 
ную информацию о драйверах устройств и порядке их загрузки. 


> Драйверы устройств посылают и получают параметры загрузки и данные 
конфигурации из реестра. Эти данные подобны тем, что записывались в 
строках DEVICE= в файле CONFIG.SYS в MS-DOS. Драйвер устройства должен 
сообщать об используемых им ресурсах системы. Приложения и драйверы 
могут считывать эту информацию Реестра для обеспечения интеллектуаль- 
ной установки и конфигурации программ. 


> Административные инструментальные средства Windows МТ (например, 
предоставляемые в панели управления и находящиеся в группе программ 
Administrative Tools) используются для изменения данных конфигурации. 


Для просмотра содержимого реестра предназначена специальная программа — 
редактор реестра Registry Editor. Чтобы ее запустить, выполните REGEDT32.EXE. 


Структура реестра 


Реестр структурирован как набор четырех поддеревьев ключей, содержащих 
базы данных с информацией о компьютере и пользователях. Информация о 
компьютере включает сведения об аппаратных средствах и программном обес- 
печении, установленном на компьютере. 


Использование реестра 277 


В реестре Windows МТ каждый индивидуальный ключ может содержать элемен- 
ты данных, называемые значимыми элементами, и дополнительные подключи. 
В структуре реестра ключи аналогичны каталогам, а значимые элементы — 
файлам. 


Система 
Windows МТ 


HKEY_LOCAL_MACHINE 
HARDWARE 
SECURITY 
SOFTWARE 


HKEY_CURRENT_USER 


Console 


HKEY_CLASSES_ ROOT 
.omp 
.cal 


HKEY_USERS 


.Default 


Control Panel 


cfg 


Environment 


Четыре поддерева в реестре Windows NT. 
Поддерево Описание 


HKEY LOCAL MACHINE = Содержит информацию о локальной компьютерной 
системе, включая аппаратные средства и данные 
операционной системы, такие как тип шины, 
системная память, драйверы устройств и данные 
управления запуском. 


HKEY CLASSES ROOT Содержит данные связи и внедрения объектов 
(OLE) и данные ассоциации файловых классов. 


НКЕУ CURRENT_USER Содержит профиль текущего зарегистрированного 
пользователя, включая системные переменные, 
персональные группы программ, настройки рабочего 
стола, сетевые соединения, принтеры и приложения. 


HKEY USERS Содержит все активно загруженные профили 
пользователя, включая HKEY CURRENT_USER, 
который всегда связан с порождением из 
НКЕУ USERS, и профиль по умолчанию. 
Пользователи, обращающиеся к серверу 
дистанционно, в этом ключе на сервере не имеют 
профилей; их профили загружаются в реестр на 
собственных компьютерах. 

HKEY CURRENT CONFIG Содержит информацию о текущей конфигурации 
компьютера (только в Windows МТ 4.0). 


HKEY ГУМ DATA Динамические данные о системе 
(только в Windows МТ 4.0). 
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Registry Editor 


HKEY _ CURRENT. USER on Local МАЕ 
ПЕ) НКЕ\_СУВАВЕМТ_О5ЕВ [+ Arizona: РЕС_52 : 804$ 
G) Console i\Black Leather Jacket: 4 
(=) Control Panel Bordeaux: REG_SZ: 4 
к Cinnamon: ВЕС_52 
Designer: REG_SZ:? 
Emerald City: REG_SZ 
Fluorescent: REG_SZ 
Hotdog Stand: REG_S 
LCD Default Screen Se} | 
_ ПВ реа Dark: р 


fe Color Sche 

С] Colors 

C7 Current 

С) Cursors 

С) Custom Colors 
= Desktop 
International 


Редактор реестра Registry Editor. 


В Windows МТ 4.0 редактор реестра изменился: его внешний вид стал TOU- 
но таким, как и в Windows 95. Соответственно изменилось и исполнение 
некоторых функций. Вместо четырех поддеревьев, изображаемых в раз- 
ных окнах, все ключи изображаются в виде единого дерева, с шестью 


© ооо оо ое ое ооо о ево зоо о ео 


главными ветвями: 


=) 8 My Computer 
1 3) C HKEY_CLASSES_ROOT 
=") HKEY_CURRENT_USER 
% £3) AppE vents 
 £} Control Panel 
2) Environment 
33 3 Keyboard Layout 
+ вы Network 


ab) (Default) 


я 22 НКЕУ_ИбЕВ$. 
#8} 53 HKEY_CURRENT_COMFIG 
(2) HKEY_DYN_DATA 


| 5 ColorT able12 
| ColorT able13 


Редактор реестра в Windows NT 4.0. 


{value not set) 
0x00000000 (0) 
0x00800000 (8388608) 
0x00008000 (32768) 
0x00808000 (8421376) 
000000080 [128] 
0x00800080 (8388736) 
0x00008080 (32896) 
0x00cOcOcO (12632256) 
000808080 (8421504) 
0*00#0000 (16711680) 
Ox0000F00 (65280) 
Ох00ЯНОО (16776960) 
0x000000ff (255) 
OxOOffOOFf (16711935) 
0х0000НН (65535) 
ОхООНИИ (16777215) 
0x0000001 9 (25) 
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Ульи и файлы 


Реестр разделен на части — у/льи. Они названы так разработчиками по аналогии 
с ячеистой структурой пчелиного “жилья”. Улей — это дискретный набор клю- 
чей, подключей и значений, находящийся вверху иерархии реестра. Улей под- 
держивается одиночным файлом и файлом ОС, находящимися в каталоге 
%systemroot%\system32\config. Ниже перечислены все ульи для компьютера, 
работающего под управлением Windows МТ. 


Улей реестра Имя файла 

HKEY LOCAL MACHINE\SAM SAM, SAM.LOG 

HKEY LOCAL MACHINE\SECURITY SECURITY, SECURITY.LOG 

HKEY LOCAL MACHINE\SOFTWARE SOFTWARE, SOFTWARE.LOG 

HKEY LOCAL _MACHINE\SYTEM SYSTEM, SYSTEM.ALT 

HKEY CURRENT_USER USER*##, USER*#* LOG или ADMIN##*, 
ADMIN### LOG 

HKEY_ USERS\DEFAULT DEFAULT, DEFAULT.LOG 


Целостность и восстановление улья в реестре 


Реестр гарантирует целостность индивидуальных действий, т.е. любое оди- 
ночное изменение значения для установки, удаления или сохранения будет 
работать или не работать, даже если система отключается из-за сбоя пита- 
ния, отказа аппаратных средств или проблем с программным обеспечением. 
Например, если приложение устанавливает значения для двух элементов (А 
и Б), возможна одна из следующих ситуаций: 


» присвоено новое значение элементу А или элементу Bb; 
» присвоены новые значения элементам А и Б; 


» не сделано никаких изменений. 


Благодаря целостности индивидуальных действий исключена ситуация получе- 
ния разрушенной смеси старых и новых значений для элемента. Например, не 
будет получена разрушенная смесь старого и нового элемента А. Кроме того, 
ключ, содержащий элементы А и Б, будет иметь размер, временную метку и 
другие данные, не противоречащие фактическому состоянию ключа. 


Данные записываются в реестр при сбросе данных, который происходит через 
несколько секунд после изменения данных или когда приложение преднаме- 
ренно сбрасывает данные на жесткий диск. Выполняется следующий процесс 
сброса для всех ульев: 
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1. Все измененные данные заносятся в файл LOG улья вместе с картой их рас- 
положения в улье, а затем выполняется сброс на диск файла ГОС. В 
этот момент принимается, что все измененные данные записаны в файл 
LOG. 


2. Первый сектор файла улья маркируется для указания, что файл находится в 
переходном состоянии. 


3. Измененные данные записываются в файл улья. 


4. Файл улья маркируется как завершенный. 


Кстати: При аварийном отказе системы между пунктами 2 и 4 при следующей 
загрузке улья в процессе запуска (если это не улей профиля, загружаемый при 
входе в систему) система видит метку, установленную в пункте 2, и продолжает 
восстановление улья с учетом изменений файла ГОС. Таким образом, файлы 
LOG не используются, если улей не в переходном состоянии. В противном слу- 
чае улей не может быть загружен без файлов LOG. 


Несколько иной процесс заполнения применяется для улья SYSTEM. Этот важ- 
ный элемент для запуска системы используется слишком рано в процессе запус- 
ка, поэтому восстановить его описанным способом нельзя. 


Файл SYSTEM.ALT содержит копию данных файла SYSTEM. В процессе заполне- 
ния изменения маркируются, записываются и затем отмечаются как выполнен- 
ные; затем тот же процесс заполнения повторяется для файла SYSTEM.ALT. При 
сбое питания, отказе аппаратных средств или проблемах с программным обес- 
печением на любой стадии описываемого процесса один из файлов SYSTEM 
или SYSTEM.ALT будет содержать правильную информацию. 


Ограничение доступа к реестру 


Самый простой способ защитить редактор реестра и файлы реестра — размес- 
тить их на разделе NTFS с ограничением доступа средствами файловой систе- 
мы. Это гораздо проще, чем ограничить доступ к отдельным элементам реестра. 


Но если файлы реестра размещены Ha FAT, права доступа (по умолчанию они 
зависят от поддерева) можно установить с помощью самого редактора реестра. 
Для доступа к диалоговому окну разграничения доступа к реестру выберите из 
меню Security команду Permissions. 
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Registry Key Permissions 


Registry Key: Color Schemes 
Owner. Administrators 


CJ Replace Permission on Existing Subkeys 


& Administrators Full Control 
3 fyodarz (Fyodor Zubanov) Full Control 


Full Control 


Type of Access: |Full Control Ei 


Диалоговое окно Registry Key Permissions. 


Вид этого диалогового окна во многом аналогичен диалоговым окнам разгра- 
ничения доступа к файлам, принтерам и т.п. Можно назначить доступ только на 
чтение, полный либо специальный. При назначении специального вида доступа 
появляется диалоговое окно Special Access. 


Диалоговое окно Special Access в редакторе реестра. 


К специальным видам доступа относятся: 


Query Value Право чтения значения ключа в реестре. 
Set Value Право вводить значения в реестр. 


Create Subkey Право создавать подключи выбранного ключа. 
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Enumerate Subkeys Право находить подключи указанного ключа в реестре. 


Notify Право уведомлять. 

Create Link Право создания символьной ссылки на выбранный ключ. 
Delete Право удалять выбранный ключ. 

Write DAC Право доступа к ключу с целью записи списка контроля доступа. 
Write Owner Право доступа к ключу с целью вступления во владение им. 
Read Control Право доступа к информации о защите ключа 


Использование реестра для быстрого 
восстановления конфигурации 
32-разрядных приложений 


Информацию о своей конфигурации приложения Win32 сохраняют в ре- 
естр. Kak правило, эта информация заносится в — поддерево 
HKEY CURRENT_USER\Software. Следующим ключом будет имя фирмы (на- 
пример, Microsoft) или общий тип приложения (например, УВ and VBA 
program Settings). Зачастую, установив приложение на новый компьютер, 
необходимо быстро восстановить ту же конфигурацию, что и на эталонном 
компьютере. Естественно, подобные настройки (скажем, внешний вид и 
расположение панелей инструментов, цвета окон и текста, рабочие катало- 
ги, используемые дополнительные утилиты и т.п.) можно выполнить сред- 
ствами самого приложение, но это займет довольно много времени. Для 
быстрого копирования конфигурации легче переносить содержимое под- 
деревьев и значений с одного компьютера на другой. 


Прежде чем выполнить перенос, сохраните ключ реестра в файл. Для этого, 
выбрав в меню Registry команду Save Key, укажите имя файла. Затем на компь- 
ютере-приемнике выберите в реестре корневой для вновь конфигурируемого 
приложения ключ. Если приложение уже установлено, то, как правило, соответ- 
ствующий ему подключ будет прописан в реестре. Если же его нет, создайте. 
Далее выделите требуемый подключ и, выбрав команду Restore в меню Registry, 
укажите ранее сохраненный файл. Если Вы обладаете соответствующими пра- 
вами доступа к этому ключу в реестре, он будет полностью заменен на значения 
эталонного ключа, включая все возможные подключи. Запуск приложения сразу 
покажет, что информация была успешно скопирована. 


Замечание: Перед переносом значений ключей убедитесь, что переносимая 
конфигурация не противоречит параметрам Вашего компьютера. Например, 
если переносится указание о том, что рабочим каталогом является 
E:\winnt40\win32\myapp, такой каталог должен существовать Ha компьютере- 
приемнике. 


ГЛАВА 11 


Аудит и мониторинг системы 


Возможно, встретив малознакомое слово, Вам захочется пропустить 
эту часть. Не спешите. Когда в Вашей системе вирус уничтожит цен- 
ную информацию или Вы заподозрите ее утечку к конкурентам, будет 
поздно рвать волосы и горестно вопрошать, как это могло случиться. 
Позаботьтесь об этом заранее и предоставьте системе возможность 
последить за тем, что в ней творится, и сообщить Вам обо всем подо- 
зрительном. Не пренебрегайте аудитом. 
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Аудит в Windows МТ 


Аудит в сетях Windows МТ включает в себя системные элементы просмотра, 
мониторинга и документирования, а также оценки защиты информационных 
ресурсов. Под термином “защита” подразумевается целостность, конфиденци- 
альность, достр?’пность и неразрывность информации. Он относится и к физи- 
ческому имуществу, технике, операционным системам и тд., принадлежащим 
компании, но используется для определения легальности функций корпорации. 


> Целостность означает, что данные и программы изменяются только в COOT- 
ветствии с правильно авторизованными действиями и обработкой. 


> Конфиденциальность означает, что корпоративные данные доступны толь- 
ко правильно авторизованному персоналу. 


> НПеразрывность означает, что данные, однажды сохраненные на сетевом 
носителе, изменяются только при правильно авторизованных действиях 
и обработке. 


> Доступность означает, что данные, программы и техника всегда доступ- 


ны для авторизованных пользователей сети. 


В соответствии с этим в Windows МТ имеется возможность регистрации и ото- 
бражения: 


> пользователей, получивших доступ к объекту; 

— типа попытки доступа; 

> того, был ли доступ успешным или нет. 

Для доменов все регистрируемые события записываются в журнал регистрации 
событий защиты на контроллере домена и относятся к событиям, произошед- 
шим либо на контроллере, либо на всех серверах домена. На рабочих станциях 


все регистрируемые события заносятся в журнал регистрации событий защиты 
рабочей станции. 


Примечание: По умолчанию только администраторы обладают привилегией 
Manage Auditing and Security Log (Управление аудитом и журналом регистра- 
ции защиты). 


Журналы регистрации событий защиты можно просмотреть, выбрав из меню 
Log утилиты Event Viewer команду Security. 
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Windows МТ обеспечивает аудит на уровне системных событий и на объектном 
уровне для доступа к файлам и каталогам. Первый уровень устанавливается в 
User Manager любым пользователем с привилегией Manage Auditing and 
Security Log. Второй определяется в File Manager. Также могут регистриро- 
ваться события, связанные с изменениями в реестре и изменениями парамет- 
ров принтеров. 


Аудит системных событий 


Аудит включается командой Audit в меню Policies в User Manager или в User 
Manager for Domains, в диалоговом окне укажите события, которые будут 
регистрироваться (Audit this Events). Если опция Audit this events не выбрана, 
аудит полностью отключен. 


Примечание: По умолчанию аудит отключен. Однако настоятельно ре- 
комендуется его использовать. 


Если выбрана опция Do Not Audit, то отключены как аудит на системном уров- 
не, так и аудит файлов и каталогов. В противном случае можно указать конкрет- 
ный тип события, подлежащего регистрации, а также только удачные резульга- 
ты события, только неудачные, либо и те и те. 


Audit Policy 
Domain: MOW-DEMO-M 
© Do Not Audit 


Success Failure 
Logon and Logoff 
File and Object Access 
Use of User Rights 
User and Group Management 
Security Policy Changes 
Restart, Shutdown, and System 


м 
м 
н 
i 
м 
Е 


Process Tracking 


Диалоговое окно Audit Policy. 
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В таблице описаны системные события, которые могут быть зарегистрированы. 


Категория Регистрируемые события 


Logon and Logoff Попытки регистрации, выхода из системы, 
создания и удаления подключений к серверам. 
Содержится информация о типе регистрации 
и о том, была ли она удачной. Для сокращения 
записей в журнале рекомендуется регистрировать 
только неудачные попытки регистрации 
и выхода из системы. 


File and Object Access Доступ к файлу или каталогу, регистрация 
которых установлена в File Manager, а также 
использование принтера, управляемого 
компьютером. Для сокращения записей в 
журнале рекомендуется регистрировать только 
неудачные попытки доступа. 


Use of User Rights Удачное использование привилегий 
пользователей, неудачные попытки применения 
привилегий, не назначенных пользователям. 
Предоставляется некоторая информация о том, 
когда некоторые специальные привилегии 
были назначены (но не о том, когда они 
использовались). Для сокращения записей в 
журнале рекомендуется регистрировать только 
неудачные попытки использования привилегий. 


User and Group Management Создание, удаление или изменение учетных 
записей пользователей и групп, таких 
как User Created или Group Membership Change. 


Security Policy Changes Предоставление или отмена привилегий 
для пользователей и групп. Установление 
или отмена доверительных отношений 
между доменами. 


Restart, Shutdown and System Выключения и перезагрузки компьютера, 
заполнение журнала регистрации событий и 
очистка записей в журнале регистрации при 
его переполнении. 


Process Tracking Запуск и остановка процессов в компьютере. 
Предоставляется подробная информация. Если 
нет особой необходимости, не стоит 
отслеживать информацию о процессах, так как 
это приводит к появлению большого числа 
записей в журнале и перегружает систему. 
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Аудит отключен по умолчанию, поэтому каждую из категорий следует включать 
по отдельности. Конечно, можно регистрировать действия каждого пользовате- 
ля, события и процессы, но огромное количество относительно простых запи- 
сей в журнале регистрации затрудняет обнаружение действительно важных — 
о неудачных попытках. Так что умерьте аппетит и ограничьгесь регистрацией 
только действительно необходимых событий. 


Примечание: Запись регистраций в системе и выходов из нее может порождать 
огромное число записей в журнале в зависимости от числа пользователей и 
частоты их регистрации в системе. Рекомендуется выполнить предварительные 
измерения. 


Аудит доступа к файлам и каталогам 


Для регистрации доступа к файлам и каталогам используется File Manager. 
Можно регистрировать доступ отдельных пользователей и групп клюбому фай- 
лу или каталогу. 


Выделите в File Manager файл или каталог, аудит доступа к которым необхо- 
дим, а затем в меню Security выберите команду Audit. В зависимости от того, 
что выбрано — файл или каталог, — появится диалоговое окно File Auditing 
или Directory Auditing. 


File Auditing | Directory Auditing 


File: D:\My Documents\BackOffice - Secusity.doc Directory: D:\My Documents 


ОО Replace Auditing on Subdirectories 
М Replace Auditing on Existing Files 
Name: 


х b VAR Ore 


Name: 


Events to Audit 


= 


Read 

Wiite 

Execute 

Delete 

Change Permissions 
Take Qwnership 


ай adur 
$ & 
м 
ы 
м va 
& ы & 
ma & < 


Take Qwneiship 


Диалоговые окна File Auditing и Directory Auditing. 
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Укажите имена пользователей и групп, доступ которых Вас интересует, и выбе- 
рите события для регистрации и их тип (успешные/неуспешные). В таблице 
приведено объяснение категорий: 


Доступ к файлу Доступ к каталогу 

Показ данных файла Показ имен файлов в каталоге 
Показ атрибутов файла Показ атрибутов каталога 

Показ владельца файла Изменение атрибутов каталога 

и прав доступа 

Изменение файла Создание подкаталогов и файлов 
Удаление файла Удаление каталога 


Изменение прав доступа к файлу Изменение прав доступа к каталогу 


Изменение владельца файла Изменение владельца каталога 
Исполнение файла Показ владельца каталога и прав 
на доступ 


По умолчанию регистрируются события, связанные только с выделенным ката- 
логом и его файлами. Для аудита всех подкаталогов пометьге флажок Replace 
Auditing on Subdirectories. Если установлен и флажок Replace Auditing on 
Existing Files, изменения в аудите будут относиться как к каталогам, так и фай- 
лам. В общем случае оба эти флажка должны быть помечены. 


Примечание: Для регистрации событий, связанных с файлами и каталогами, в 
диалоговом OKHe Audit Policy в User Manager пометьте флажок File and Object 
Access (подробнее см. выше раздел Аудит системных событий). 


Аудит реестра 


В реестре Windows МТ Server содержится информация, относящаяся к защите и 
аудиту: конфигурация умолчания для файлов журналов регистрации, макси- 
мальный размер этих файлов и период хранения данных для каждого из фай- 
лов. Аудит реестра устанавливается в редакторе реестра. Можно указать пользо- 
вателей или группы, для которых будет осуществляться регистрация доступа к 
выбранным ключам реестра. 
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Registry Key Auditing 


Registry Key: Software 


_] Audit Permission on Existing Subkeys 


Name: 
fe 


Sodromistratars 


Events to Audit 


Success Failure 
Query Value 
Set Value 
Create Subkey 
Enumerate Subkeys 
Notify 
Create Link 
Delete 
Write DAC 
Read Control 


OOWOOOOWO 
OIE Chia ead 


Диалоговое окно Registry Key Auditing. 


В таблице объясняются опции этого диалогового окна. 


Опция Регистрируемые события 

Check Link События, при которых выполняется попытка открыть 
ключ с типом доступа Create Link. 

Create Subkey События, при которых выполняется попытка открыть 
ключ с типом доступа Create Value. 

Delete События, при которых происходит попытка удаления 
ключа. 

Enumerate Subkeys События, при которых выполняется попытка открыть 


ключ с типом доступа Enumerate Subkeys (т.е. когда 
происходит поиск подключа). 


Notify События, при которых выполняется попытка открыть 
ключ с типом доступа Notify. 

Query Value События, при которых выполняется попытка открыть 
ключ с типом доступа Query Value. 

Read Control События, при которых идет поиск владельца ключа. 

Set Value События, при которых выполняется попытка открыть 


ключ с типом доступа Set Value. 


Write DAC События, при которых определяется, кто имеет доступ 
к ключу. 
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По умолчанию аудит реестра отклочен. Для включения сначала пометьге фла- 
жок File and Object Access в User Manager. Затем в редакторе реестра выбери- 
те в меню Security команду Auditing и укажите события, которые необходимо 
регистрировать. Аудит каждого ключа и подключа может выполняться индиви- 
дуально. Аудит реестра выполняйте от случая к случаю. Напомню: обычно реги- 
стрируются только неудачные события, так как регистрация удачных приведет 
к быстрому переполнению журнала. 


Аудит печати 


В Windows МТ обеспечивается защита печати. Пользователю или группе могут 
быть предоставлены четыре вида прав доступа к принтеру: № Access, Print, 
Manage Documents и Full Control. Если включена регистрация в меню Securi- 
ty B Print Manager, можно фиксировать попытки пользователей вывести доку- 
мент на печать, изменения заданий для печати, приостановки печати, возобнов- 
ления заданий для печати, перестановки или удаления заданий в очереди на 
печать. Можно регистрировать и попытки предоставить принтер в совместное 
использование, удалить принтер, изменить привилегии или владельца. 


Printer Auditing 
Printer: LaserPrinter 


Name: 


Everyone 


Events to Audit 


Success 
Print 
Eull Control 
Delete 


bd 
Change Permissions i 
н 


Take Ownership 


Диалоговое окно Printer Auditing. 
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По умолчанию сообщение о печати документа посылается его владельцу. Одна- 
ко он всегда может изменить адресата сообщения о печати в диалоговом окне 
Document Details. Остальным это доступно только при наличии привилегий 
Manage Documents или Full Control. 


Этот механизм контроля необходимо применять в защищенных системах. На- 
помню: чтобы изменить адресата данного сообщения, сначала приостановите 
печать. 


Document Details 
Document Title: Notepad - D:\MSOffice\Winword\WDRESDME. TXT 
Status: Pages: 9 
Size: 101364 Owner: = fyodorz 
Printed On: LaserPrinter Notify: 


Printed At. 13:27 Priority: 


Processor: —winprint Start Time: | 90:00 2 


Datatype: NT JNL 1.000 Until Time: |00:00 


Диалоговое окно Document Details в Print Manager. 


Примечание: Для аудита печати пометьте флажок File and Object Access в ди- 
алоговом окне Audit Policy в User Manager (подробнее см. выше в разделе 
Аудит системных событий). 


Аудит сервера удаленного доступа 


В Windows МТ Server можно регистрировать деятельность пользователей, под- 
ключенных к серверам удаленного доступа (RAS). Единственное отличие 
пользователя локальной сети от удаленного в том, что последний применяет 
асинхронную версию сетевого протокола. Мониторинг деятельности удален- 
ных пользователей осуществляется с помощью Event Viewer. События, связан- 
ные с удаленным доступом, чрезвычайно важны с точки зрения соблюдения 
защищенности системы. 
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В приведенных ниже таблицах описаны сообщения, связанные с удаленным 


доступом. 


Записи об успешном использовании RAS 


Сообщение 


Пояснение 


The user имя пользователя 
has connected and has been 
successfully authenticated 
оп port имя порта 


User имя пользователя has 
disconnected from port 
имя порта 


Указывает на нормальное подключение 
определенного пользователя к данному 
порту. 


Указывает на успешное отключение 
пользователя, инициированное 
пользователем. 


Записи о неуспешном использовании RAS 


Сообщение 


Объяснение 


Тре user connected to port 
имя порта has been 
disconnected because 

of inactivity. 


The user has connected and 
failed to authenticate on port 
uma nopma. The line has been 
disconnected. 


The user connected to port 
имя порта has been 
disconnected because of 
authentication timeout. 


The user connected to port 
имя порта has been 
disconnected because there 
was a transport level error 
during the authentication 
conversation. 


The user connected to port 
имя порта has been 
disconnected because it could 
not be projected onto 

the network. 


Линия оставалась бездействующей в течение 
периода, превышающего значение параметра 
AutoDisconnect в реестре (подробнее см. главу 
Использование реестра). 


Пользователь ввел неверное имя, пароль или 
и то и другое. Число неудачных попыток 
регистрации превысило заданное параметром 
AuthenticareRetries в реестре (подробнее см. 
главу Использование реестра). 


Проверка пользователя заняла больше 
времени, чем указано. Для изменения 
периода проверки измените параметр 
AuthenticateTime в реестре (подробнее см. 
главу Использование реестра). 


При проверке пользователя произошло 
слишком много ошибок, возможно из-за 
зашумленной линии или несовместимости 
модемов. Попросите пользователя 
подсоединиться на более низкой скорости. 


Чаще происходит, если в сети уже имеется 
рабочая станция с таким именем. Попросите 
пользователя сконфигурировать компьютер с 
другим именем или проверьте, не подключен 
ли он ксети другим способом, например по 
Ethernet или Token ring. 


Аудит удаленного доступа должен быть всегда включен. 
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Аудит Книги обмена 


Аудит Книги обмена (ClipBook) можно применять для контроля за тем, как 
пользователи или члены групп работают с совместно используемыми страни- 
цами в Книге обмена. Для каждой страницы можно регистрировать как удач- 
ные, так и неудачные события. Чтобы установить параметры аудита, нужно быть 
членом группы Administrators или иметь привилегии Manage Auditing и 
Security Log. Регистрируемые события заносятся в журнал защиты. Эту функ- 
цию следует задействовать только в случае действительной необходимости. 


Для аудита страниц Книги обмена выберите нужную страницу, а в меню Securi- 
ty — команду Auditing, укажите имя пользователя или группы, чьи действия 
надо регистрировать. Возможен аудит: 


» чтения страницы; 
» удаления содержимого страницы; 
» изменения прав доступа; 


» изменения типов аудита. 


ClipBook Page Auditing 


ClipBook Page: 11 


Мате: 
С: Evernone 


Events to Audit 


Success Failure 
Read 
Delete 
Change Permissions 
Change Audit Types 


Диалоговое окно ClipBook Page Altditing. 
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———щ——— дд 


Manager пометьге флажок File and Object Access (подробнее см. выше раздел 
Аудит системных событий). 


Журналы регистрации событий защиты 


В каждом Windows МТ Server имеются три журнала для занесения событий, OT- 
носящихся к системе, защите и приложениям. Заносятся: 


> всистемный журнал — ошибки, предупреждения или информация OT CHC- 
темы Windows МТ Server; 


> в журнал защиты — сообщения об удачных и неудачных попытках регист- 
рации, а также события, связанные с использованием ресурсов, такие как 
создание, открытие или удаление файлов или других объектов; 


> в журнал приложений — ошибки, предупреждения и информация OT выпол- 
няемых приложений, таких как электронная почта или СУБД. 


Все три журнала хранятся в одном подкаталоге: 
<systemroot>\system32\config 


Системный журнал и журнал приложений доступны для просмотра любому 
пользователю. Журнал защиты могут просматривать только администраторы 
или пользователи с привилегиями Manage Auditing и Security Log. Для про- 
смотра журнала защиты выберите в Event Viewer команду Security из меню 
Log. 


Доступ к журналу защиты защищен через список контроля доступа, предо- 
ставляющий доступ только администраторам. Журнал защиты должен рас- 
полагаться на разделе МТЕЗ, чтобы можно было использовать списки конт- 
роля доступа. Полное имя файла журнала защиты: 


<systemroot>\system32\config\secevent.evt 


У журнала защиты есть заголовок и номер версии, расположенные в начале 
каждого файла журнала. Заголовок можно использовать, чтобы точно знать, 
в тот ли журнал заносится информация. Сервис журналирования Event Log 
проверяет существующий файл, прежде чем что-либо в него записать. Если 
файл ошибочен, сервис Alert предупреждает администратора. Когда файл жур- 
нала заполнен, при поступлении новой записи администратору посылается 
предупреждение, а запись в журнал не заносится. 


= 
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Event Viewer - Security Log on \NTFYODORZ SMS 


| Log View Options Help | _ | 


‘Tim 


15:03:35 
15:03:29 
15:03:29 
15:03:22 
14:59:35 
14:59:18 
14:58:16 
14:58:18 
14:58:08 


security 
Security 
Security 
Security 
security 
Security 
Security 
Security 
security 


Detailed Tracking593 
Privilege Use БР? 
Privilege Use ЭР 
Detailed Tracking592 
ObjectAccess 562 
ObjectAccess 562 
Detailed Tracking 543 
Detailed Tracking592 
Detailed Tracking592 


a es 


User 


odorz 
SYSTEM 
fyodorz 
fyodorz 
SYSTEM 
ЗУЗТЕМ 
ftvodarz 
fyodorz 
fyodorz 


Журнал регистрации событий защиты в Event Viewer. 


Дважды щелкнув любое из событий в списке, Вы получите о нем более подроб- 
ную информацию. 


Event Detail 


Date: 07.01.96 Event ID: 592 

Time: 14:58:18 Source: Security 

User: fyodorz Type: Success Audit 
Computer. NTFYOQDORZ_SMS Category: Detailed Tracking 


Description: 


new process has been created: 
New Process 10: 4288577568 
Image File Name: WINFILE.EXE 
Creator Process ID: 4289395552 
User Name: fyodorz 
Domain: MOW-DEMO-M 
Logon ID: (Ox0,0x1134) 


Date: @® Bytes О Words 


Подробная информация о событии. 
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При показе события и подробной информации отображается также информа- 
ция из заголовка журнального файла. События могут быть отсортированы по 
элементам заголовка. В таблице приведены описания параметров заголовка: 


Элемент заголовка Значение 


Date Дата, когда произошло событие. 
Time Время, когда произошло событие. 
source Имя системы, породившей событие. Для записей 


сообщений защиты это всегда Security. 


Category Классификация события источником событий. 
Например, к категориям защиты относятся Logon и 
Logoff, Policy Change, Privilege Use, System Event, Object 
Access, Detailed Tracking и Account Management. 


Event ID Уникальный идентификатор события, зависящий 
OT модуля. 
User Трансляция SID субъекта, породившего событие, в HMA 


бюджета. Это имя является олицетворением ID- 
клиента, если субъект олицетворяет клиент, или же 
имя первичного ID, если не олицетворяет. 


Computer Имя компьютера, на котором порождено событие. 
Event Туре (Только Указывает, была ли попытка удачной или неудачной 
в режиме подробного в зависимости от того, был ли установлен аудит 
просмотра) удачных или неудачных попыток. 


Дополнительно к перечислению по их идентификатору события в журнале 
защиты перечислены по категориям. В таблице приведены категории собы- 
тий и их значения: 


Категория Значение 

Account Management Описывают высокоуровневые изменения в базе 

(Управление учетных записей пользователей, такие как создание 

пользователями новой учетной записи или изменение членства в группе. 

и группами) Возможно также выполнение более подробного аудита 
на объектном уровне. 

Detailed Tracking Предоставляют подробную информацию 

(Отслеживание об отслеживании субъектов. Сюда включена такая 

процессов) информация, как активизация программы, повторение 
указателя на программу и неявный доступ к объекту. 

Logon/Logoff Описывают однократные попытки регистрации или 

(Регистрация выхода из системы и степень успешности. 

и выход) В описание каждой попытки регистрации входит 


указание на тип запрашиваемой или выполненной 
регистрации: интерактивная, сетевая или регистрация 
сервиса. 
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Категория Значение 

Object Access Описывают как удачные, так и неудачные попытки 

(Доступ к файлам доступа к защищенным объектам. 

и объектам) 

Policy Change Описывают высокоуровневые изменения в политике 

(Изменения в защиты, такие как назначение привилегий или 

политике защиты) возможностей регистрации. Возможно также выполнение 
более подробного аудита на объектном уровне. 

Privilege Use Описывают как удачные, так и неудачные 

(Использование попытки использования привилегий. В журнал также 

привилегий включается информация о том, когда были назначены 

пользователя) некоторые специальные привилегии. Эти 


специальные привилегии регистрируются только 
при назначении, а не во время использования. 


System Event Указывают на что-то затрагивающее защищенность 
(Изменения в всей системы в целом или при записи в журнал. 
политике защиты) 


Для каждого их журналов регистрации администратор может указать такие 
параметры, как максимальный размер файла журнала и как поступать при пере- 
полнении журнала. 


Event Log Settings 


Change Settings for [Secunty 9 Log 
Maximum Log Size: Kilobytes (64K Increments) 


Event Log Wrapping 


© Overwrite Events as Needed 


®) Overwrite Events Older than Days 


© Do Not Overwrite Events (Clear Log Manually) 


Определение параметров журнала. 


Регистрация событий начинается на этапе загрузки. Если в диалоговом окне 
Audit Policy в User Manager отмечены все флажки, включая Process Tracking, 
Windows МТ может занести в журнал огромный объем информации, и журнал 
быстро переполнится. Как только это произойдет, система остановится. В 
Windows МТ есть возможность указать, как поступить в этом случае, чтобы си- 
стема не встала. По умолчанию на каждый журнал отводится 512 Кб. Но этот 
размер можно увеличить в соответствии с объемом диска и памяти. Админист- 
ратор не может сделать журнал меньше существующего — сначала журнал надо 
ОЧИСТИТЬ. 
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В каждой организации должны быть установлены правила архивирования жур- 
налов регистрации. Архивирование совместно с опциями заполнения журнала 
позволяет обеспечить сохранность всех зарегистрированных системных собы- 
тий и предотвратить переполнение журнала и остановку системы. 


В таблице перечислены опции заполнения журнала и их объяснение: 


Опция заполнения Значение 


Overwrite Events as needed Если выбрано это значение, то при 
переполнении журнала новые записи будут 
замещать старые. Установлена по умолчанию. 


Overwrite Events Older Эту опцию лучше всего использовать при 
then x Days регулярном архивировании журнала. По 
умолчанию устанавливается 7 дней. 


Do not Overwrite Events Гарантирует сохранность всех записей. 
Требуется ручная очистка журнала. 


Чтобы система не останавливалась при переполнении журнала, установите 
в реестре флажок: 


HKEY_LOCAL_MACHINE\System\CurrentControlSet\ 
Control\Lsa\CrashOnAuditFail 


Если этот флажок установлен и система по какой-либо причине не может сде- 
лать запись в журнал, система остановится. Если он не установлен, то при пере- 
полнении журнала система выдаст сообщение администратору: “Тре Security Log 
file ts full”. 


Сигналы тревоги (Alerts) 


Windows МТ Server может рассылать сообщения о тревоге определенным 
пользователям. Эти сообщения могут быть связаны и с событиями, затрагиваю- 
щими безопасность системы, например, превышение числа неудачных попы- 
ток регистрации. 


Для указания рассылаемых сигналов тревоги и выбора пользователей, которым 
это сообщение будет разослано, используется Performance Monitor. Выбрав в 
нем команду View Alert, администратор указывает в списке необходимые сигна- 
лы, а также условия, при которых они вырабатываются. Для каждого из таких 
сигналов можно задать приложение или командный файл, который будет вы- 
полняться в условиях наступления события. 
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= Add to Alert 
Computer: [\\NTFYODORZ_SMS aE 


Counter: |Bytes Total/sec 


Bytes Transmitted/sec 
Context Blocks Queued/sec 
Errors Access Permissions 


Errors Granted Access _ 
Errors Logon nd 


Диалоговое окно Add To Alert. 


Определив сигналы тревоги, можно установить их общие параметры. В частно- 
сти, указать пользователей, которым будет посылаться данный сигнал или зас- 
тавить Performance Monitor автоматически переключаться в режим просмот- 
ра сигналов тревоги. Использовать эту возможность настоятельно рекомендуется. 


— Alert Options 
CL) 


С Log Event т Application Log 
Network Alert 


CJ Send network message 
Net Name: 


feel 


Update Time 


Interval (seconds): 


№ Manual Update 


Диалоговое окно Alert Options в Performance Monitor. 


Допустим, Ваш сервер является почтовым узлом, на котором хранится вся по- 
чтовая поступающая к Вам корреспонденция. Сервер работает в автономном 
режиме в удаленном помещении. Согласно установленной в Вашей организа- 
ции политике, вся почта, полученная более чем 2 месяца назад, удаляется с сер- 
вера. Кроме того, объем жесткого диска не так велик, и надо постоянно следить, 
чтобы свободного пространства хватало для размещения новой почты. Для со- 
блюдения всех этих требований можно использовать Performance Monitor. 
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Add to Дей 


Computer: 
Object: 


Counter: |% Disk Read Time 
% Disk Time 
% Disk Write Time 


Run Program on Alert 


- © First Time 
ieee ГИЯ emacs 


Counter Definition 


Percent Free Space is the ratio of the free space available on the logical disk unit to the total usable 
space provided by the selected logical disk drive 


Опишите в нем сигнал тревоги, возникающий при уменьшении объема свобод- 
ного пространства на диске менее определенной величины (LogicalDisk, 
%Free Space, Under 5%); укажите программу, которая будет удалять (или архи- 
вировать на стример) всю почту, возраст которой превышает 2 месяца. Так как 
эта операция должна выполняться каждый раз при наступлении описанных 
условий, отметьте переключатель Every Time. Задав все параметры, “нажмите” 
кнопку Add. 


Этим, однако, конфигурация сигнала тревоги не заканчивается. Наверное, нет 
смысла проверять объем свободного пространства на диске каждые 5 секунд. В 
нашем примере достаточно ограничиться 1 часом. Кроме того, такие события 
необходимо заносить в журнал для регистрации и оповещать администратора 
сети. Поэтому выставьге общие параметры вот так: 


Alert Options 


_] Switch to Alert View 
za Log Event in Application Log 


Network Alert 


Ы Send network message 
Net Name: 


\Antfyodorz 


Update Time 


Interval (seconds): 


р» Manual Update 
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Анализ и настройка производительности 
сервера с помощью программы 
Performance Monitor 


Порой, работая с сервером, Вы замечаете его необъяснимую, на первый взгляд, 
“задумчивость”. То замедляется перекачка файлов по сети, то запрос к базе дан- 
ных исполняется гораздо медленней, чем обычно. Можно, конечно, глядя в 
монитор, помедитировать и погадать о причинах такого поведения. Но лучше 
пойти другим путем — запустить монитор производительности (Performance 
Monitor). Выше мы говорили, как его использовать для отслеживания некото- 
рых критических ситуаций и генерации сигналов тревоги. Это лишь одна из его 
функций. 


Не менее важной функцией является отслеживание загруженности отдельных 
процессов, потоков, устройств и т.п. практически в реальном масштабе време- 
ни. Загруженность (или иной параметр) отображаются в виде диаграммы. На 
одной странице можно наложить кривые, соответствующие различным изме- 
ряемым величинам, а затем, сопоставив их, сделать вывод о том, что именно в 
большей степени повлияло на перегрузку сервера. 


Сразу после установки сервера Вы можете контролировать разнообразные па- 
раметры, относящиеся к сервисам операционной системы: Browser, Server, 
Redirector, а также параметры, характеризующие работу отдельных систем: 
процессора, памяти, жесткого диска и т.п. Запуск любого приложения сопро- 
вождается порождением новых процессов и потоков. Влияние каждого из них 
Ha общую загруженность системы также можно оценить с помощью Perfor- 
тапсе Мопйог. 


В дальнейшем установка новых серверных приложений приводит к добавле- 
нию в список контролируемых параметров новых элементов, описывающих 
работу установленных приложений. Например, установка Microsoft Internet 
Information Server приводит к появлению таких объектов, как FIP Server, 
Gopher Server, HTTP Server и Internet Information Services Global. Каждый 
из них имеет большое количество измеряемых параметров. 


На рисунке показан пример анализа работы сервера, на котором установлены 
Microsoft SQL Server 6.0, Systems Management Server 1.1, Internet Information Ser- 
ver 1.0, DHCP- и \/ИМ5-серверы. Также эта машина выполняет роль шлюза в сеть 
Netware и имитирует работу сервера Netware. 
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Performance Monitor 


File Edit View Options Help 


% Processor Time SQLSERYVR --- Process \ANTFYODORZ 
% Processor Time smss --- Process \NTFYODORZ 
% Processor Time Nwssyvc --- Process \NTFYODORZ 
% Processor Time RASMAN --- Process 
% Processor Time SMSEXEC --- Process 
% Processor Time SITEINS --. Process 
% Processor Time 1 --- Process 
; scor Time = we Process 


Oxno Performance Monitor. 


В интервал времени, показанный на рисунке, проводилась переконфигурация 
Systems Management Server (SMS). Среди параметров, отображенных Ha диаграм- 
ме, выделяются два: общая загрузка процессора (тонкая линия) и загрузка про- 
цессора, связанная с выполнением переконфигурации SMS (толстая линия в 
центре диаграммы). Анализ кривых показывает, что в первой половине данного 
отрезка времени процессор был загружен исполнением некоторых процессов, 
не включенных в рассмотрение (это могли быть процессы, инициированные 
пользователями по сети). Далее загрузка процессора очень четко коррелирует с 
процессом переконфигурирования SMS. И, наконец, по завершении его вновь 
доминируют процессы пользователей: обращение к серверу Web и SQL Server. 


При выполнении анализа нет никакой необходимости неотрывно смотреть на 
экран и ждать, когда же произойдет то событие, что приведет к ограничению 
производительности сервера. Вместо этого просто перенаправьге поток дан- 
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ных в журнал. При конфигурировании журнала можно указать имя файла жур- 
нала, интервал обновления и объекты, информация о которых будет фиксиро- 
ваться. Такой способ анализа удобен, например, в случае тонкой настройки 
производительности сети. 


Е 
‘me 
| File Edit View Options Help 


yor 


Performance Monitor 


Memory SANTFYODORZ-M 
LogicalDisk \\WNTFYODORZ-M 
Process \WNTFYODORZ-M 


Окно Performance Monitor в режиме заполнения журнала. 


Проанализировать информацию, занесенную в журнал, можно потом несколь- 
кими способами. Во-первых, представить в виде диаграммы, подобной рассмот- 
ренной выше. Для этого, переключившись в режим просмотра диаграммы 
(View Chart), выберите в меню Options команду Data From и укажите имя 
файла журнала. После этого останется лишь указать интересующие параметры 
для каждого из занесенных в журнал объекта. На диаграмме сразу будет отраже- 
на деятельность в системе на момент регистрации в журнале. 


Второй способ представить информацию из журнала — оформление ее в виде 
отчета (Report). Для этого переключитесь в режим просмотра отчетов и, выб- 
рав в меню Options команду Data From, укажите имя файла журнала. Затем 
добавьте к отчету интересующие значения. 
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|= о Deanna ce Monitor 7 С | 
| File Edit View Options Help | 


Computer: \\NTFYODORZ-M 
Object: Processor 


% Processor Time 
Object: Memory 
Pages/sec 0,000 
Object: Process PERFMON WINWORD System 
% Processor Time 0,935 0,067 0.000 
Object: LogicalDisk С: О: 


% Free Space |. tal 


Окно Performance Monitor в режиме просмотра отчетов. 


При взгляде на отчет, показанный на рисунке, сразу возникает вопрос: а к како- 
му интервалу времени он относится? Чтобы это понять или указать иной интер- 
вал, выберите в меню Edit команду Time Window и укажите начальную и конеч- 
ную точки регистрации на слайдере: 

“Input Log File Timeframe 


26.05.96 26.05.96 
11:59:28,7 nes 12:00:13.8 


11:59:437 


Bookmarks 


26.05.96 11:59:23 ? New cet ot Log data 


Установка интервала времени в Performance Monitor. 


Поиск и терминирование отдельных процессов 


Иногда при анализе загрузки сервера выясняется, что сервер загружен чем-то 
непонятным. Вы закрываете все приложения, отключаете от сервера всех 
пользователей, но кривая, соответствующая занятости процессора, указывает на 
интенсивную работу. В этом случае необходимо проанализировать запущенные 
в системе процессы. Бывает, при некорректном завершении какого-либо при- 
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ложения ряд процессов, соответствующих этому приложению, остается актив- 
ным в памяти. Попытка обнаружить их в списке задач не дает желаемого резуль- 
тата, так как задача в целом уже снята. Процессы выявляются с помощью мони- 
тора производительности. Для анализа выбирается объект Process, а на график 
выносятся все “подозрительные экземпляры” (Instances) объектов. Обнаружив 
процесс, влияние которого на загрузку процессора очевидно, проверьте, не 
системный ли он, и прекратите (терминируйте) его. 


Нежелательные процессы можно прекратить разными способами: 


1. Выйдите из системы и зарегистрируйтесь в ней снова. Этот способ идеально 
“убивает” процессы, порожденные Вашей персональной деятельностью. К 
достоинствам этого способа относится непрерывность работы сервера и 
терминирование всех несистемных процессов. К недостаткам — возмож- 
ность остановки только тех процессов, что порождены пользователем, заре- 
гистрировавшимся локально. 


2. Перезагрузите систему. Это, пожалуй самый эффективный, но и самый “кро- 
вавый” способ, пригодный для использования на рабочей станции или сер- 


вере небольшой рабочей группы, но никак не на сервере подразделения. 


3. Воспользуйтесь утилитой PVIEWER из Windows NT Resource Kit — она позво- 
ляет не только увидеть все процессы в системе, но и при необходимости 
терминировать любой из них. Достоинство данного способа — непрерыв- 
ность работы сервера и терминирование любого, отдельно взятого процес- 
са. Однако при этом администратору необходимо прекрасно знать имена 
всех системных процессов, чтобы случайно их не уничтожить. 


Process Viewer 


Computer: |\\fyodor_home 


Process 
cstss [0x18 
idle (0х0) 
kbdsel (0x89) 
Isass (0x29) 
nddeagn' 


Process Memory Used 
Working Set: 
Heap Usage: 


Thread(s) 
Thread Priority 


© Highest 

о Above Normal 
@® Normal 

© Below Normal 
© Idle 


Thread Information 


User PC Value: 0Ox77f890e7 Context Switches: 179 
Start Address: Ox5fe62e7a Dynamic Priority: 14 


Программа Pviewer. 
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4. Воспользуйтесь утилитами TLIST и KILL, также входящими в поставку Win- 
dows NT Resource Kit. Работа с этими программами аналогична работе с 
PVIEWER за тем исключением, что они имеют неграфический интерфейс. 
TLIST сообщает имена и идентификаторы всех процессов, активных в систе- 
ме, а КПД, позволяет “убить” процесс по его идентификатору. Эти утилиты 
особенно полезны в том случае, если Вы администрируете удаленный сер- 
вер и подключились к нему в терминальном режиме с использованием ути- 
литы Telnet. 


5. ВВ Windows МТ 4.0 имеется встроенная возможность просмотра 
активных процессов и их терминирования. Для этого используется 
TaskList, который, кроме исполняемых задач, показывает и про- 
цессы, а также ресурсы, выделяемые под каждый из процессов. Для 
остановки процесса достаточно выделить его в списке и щелкнуть 
кнопку End Process. 


System Idle Process ‘OB: 16K 
System :00: 216К 
smss.exe ‘00: 360 K 
6515$. ехе :00: 1500 К. 
winlogon. exe ‘00: 748K 
services.exe :00: 2796 К 
lsass.exe :00: 2000 K 
SPOOLSS.EXE :00: 1692 К 
Ipess.exe :00: 816К 
explorer.exe :00: 3144 К 
tapisry.exe :00: 1868 K 
RASMAN.EXE :00: 2764 К 
nddeagnt.exe :00: 684 К, 
internat. exe :00: 1084 К 
taskmat.exe :00: 1468 K 
systray. exe :00: 940 K 
WINWORD.EXE :00: 5136 К 


WNW № Фо о > © м Hf 


ооо оо ово ооо во eee ee ee eC Gee GS sO G BE 


Окно Task Manager в режиме просмотра процессов 
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Анализ загруженности системы 
в Windows МТ 4.0 


В Windows МТ версии 4.0 появилась возможность экспресс-контроля заг- 
руженности системы. Можно, не вызывая монитора производительности, 
оценить в реальном масштабе времени использование ресурсов цент- 
рального процессора и памяти, посмотреть количество потоков, откры- 
тых файлов, распределение памяти между ядром системы и приложени- 
ями, а также ряд других полезных параметров. Все, что нужно — запус- 
тить Task Manager и открыть в нем вкладку Performance. 


Понятно, что данный инструмент не обеспечивает всей гибкости и воз- 
можностей, предоставляемых Performance Monitor, но удачно дополня- 
ет его функции в плане оперативности получения наиболее часто ис- 
пользуемой информации. 


2 Windows | Мападег 


Окно Task Manager в режиме графического представления 
загруженности процессора. 


эф оо ово ооо оо ооо ооо оо ооо осо оо ees ee ee hea eee ооо @ 


ва диф Ал АА о ee а би лол ee eee ВО 


Приложения 


Итак, книга прочитана, и Вас распирают знания о грамотном адми- 
нистрировании системы. Вам не терпится реализовать на практике 
прочитанное. Секунду!/ Быть может, не все, что Вы знаете, пригодится 
в конкретной ситуации. Возможно, чем-то можно пренебречь ради до- 
стижения наивысшей производительности. В этих приложениях содер- 
жатся практические рекомендации по настройкам Windows NT Server, 


обеспечивающим различную степень надежности, — выберите самую 
подходящую. 
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ПРИЛОЖЕНИЕ А 


Установки, обеспечивающие 
минимальную защиту 


Вы можете не задумываться о защите компьютера, если в нем не хранится важ- 
ная информация или он расположен в защищенном помещении. Если надо, 
Windows МТ позволяет сделать систему полностью доступной, без какой-либо 
защиты. 


Требования физической защиты 


Примите все меры предосторожности для предотвращения кражи важного обо- 
рудования. Проще говоря, запирайте комнату, в которой стоит компьютер, в 
отсутствие сотрудников или прикрепите блоки компьютера к стене гибким Ka- 
белем. Можно установить порядок выноса компьютера или отдельных его час- 
тей из помещения, чтобы ни один элемент не пропал “случайно”. 


Используйте специальные устройства для защиты компьютера и периферии от 
перенапряжения. Регулярно проверяйте диск и дефрагментируйте его для выяв- 
ления сбойных секторов и обеспечения высшей производительности. 


Требования программной защиты 


Для обеспечения минимальной защиты не используются никакие функции 
Windows МТ. Фактически можно разрешить автоматическую регистрацию ад- 
министративного бюджета (или любого другого бюджета), следуя рекоменда- 
циям, приведенным в главе 12 “Configuration Management and the Registry” в Win- 
dows NT Resource Guide. Это позволит любому, имеющему физический доступ к 
компьютеру, включить его и сразу получить доступ к системным ресурсам. 


По умолчанию доступ ограничен несколькими файлами. Для обеспечения ми- 
нимальной защиты предоставьте группе Everyone доступ ко всем файлам. 


Следует принять антивирусные меры, так как вирусы могут нарушить работу 
Ваших программ, либо использовать незащищенный компьютер для проникно- 
вения в другие системы. 
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ПРИЛОЖЕНИЕ Б 


Установки, обеспечивающие 
обычную защиту 


Чаще всего компьютеры используются для хранения важных или ключевых 
данных. Это могут быть финансовые данные или архивы персональной коррес- 
понденции. Хочется защитить компьютер и от преднамеренных или случайных 
изменений в его параметрах. При всем том пользователи не должны преодоле- 
вать барьеры на пути к ресурсам, с которыми они работают. 


Требования физической защиты 


Как и в случае минимальной защиты, компьютер должен быть защищен как 
любое чувствительное оборудование. В общих чертах это означает хранение 
машины в недоступном для посторонних помещении, каким обычно является 
офис или дом. Иногда есть смысл прикрепить компьютер к стене кабелем. Если 
у него имеется замок, храните ключ в безопасном месте. Правда, если ключ 
потеряется, даже авторизованный пользователь не сможет работать. 


Требования программной защиты 


Защита системы требует усилий как со стороны администратора, устанавлива- 
ющего программное обеспечение, так и со стороны повседневных пользовате- 
лей — они должны воспитывать в себе привычку выходить из системы по окон- 
чании рабочего дня и запоминать (а не записывать) пароли. 


Предупреждение при регистрации 


Перед регистрацией пользователя в системе в WindOwsNT возможен вывод Ha 
экран сообщения, определяемого пользователем. Во многих организациях это 
сообщение предупреждает о легальности работы. Отсутствие такого предуп- 
реждения может рассматриваться как приглашение войти в систему без каких- 
либо ограничений. 


Это предупреждение может также инструктировать пользователя о том, как вве- 
сти имя и пароль. 


Подробнее о конфигурировании сообщения см. раздел Предупреждение о ле- 
гальности использования. 
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Учетные записи пользователей и группы 


Для обеспечения стандартной защиты требуется использование учетных запи- 
сей пользователей (имен пользователей) и паролей. Подробнее о создании и 
работе с учетными записями см. раздел Администрирование у’четных записей 
пользователей и групп. 


Выход из системы или блокировка рабочей станции 


Пользователь должен выходить из системы или блокировать рабочую станцию 
каждый раз, покидая рабочее места независимо от времени, в течение которого 
он собирается отсутствовать. Выход из системы позволяет другим пользовате- 
лям зарегистрироваться в ней (если у них имеется учетная запись и они знают 
пароль); блокировка — не позволяет. Блокировку рабочей станции можно сде- 
лать автоматической при наличии любой 52-битной программы сохранения 
экрана. 


Пароли 


Любой, кто знает имя пользователя и связанный с ним пароль, может войти в 
систему. Поэтому храните пароли в секрете, а также: 


часто меняйте пароли; 


> не используйте легко угадываемые слова или слова из словаря. Фразы или 
комбинации букв и цифр надежнее всего; 


> He записывайте пароли. Выбирайте такой, чтобы Вам его было проще 3a- 
ПОМНИТЬ. 


защита файлов и каталогов 


Файловая система NTFS обладает более развитыми свойствами защиты, чем FAT; 
поэтому ее необходимо использовать всегда, когда требуется защита. ЕАТ при- 
меняется только на загрузочных разделах в АВС-совместимых ВГ5С-системах. 
Системный раздел FAT можно защитить командой Secure System Partition из 
меню Partition в администраторе дисков Disk Administrator. 


Подробнее о защите и разграничении доступа на разделах NTFS см. главу Фай- 
ловая система NTFS. 


На практике убедитесь, что пользователи знают о том, что файл, перемещаемый 
или копируемый в другой каталог в пределах одного тома, имеет все атрибуты 
защиты, имевшиеся у него до копирования. Если, например, новый каталог не 
защищен, а является совместно используемым, переместите файл в другой, за- 
щищенный каталог, либо сразу при копировании наложите ограничения Ha 
доступ к нему. 
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Резервное копирование 


Регулярное резервное копирование защитит Ваши данные от сбоев техники 
или ошибок, а также от вирусов и других повреждений. Подробнее см. раздел 
Резервное копирование на магнитную ленту. 


Очевидно, для выполнения резервного копирования файлы должны быть про- 
читаны, а для восстановления — записаны. Привилегию резервного копи- 
рования должны иметь только члены групп Administrators и Backup opera- 
tors — люди, которым Вы доверяете. 


защита реестра 


Вся информация о конфигурации Windows МТ хранится в реестре. Как правило, 
модификация ключей реестра выполняется специальными программами, на- 
пример, через панель управления. Этот способ рекомендуется. Однако ключи 
можно изменять и в редакторе реестра, а некоторые из ключей — только в нем. 


Работать с редактором реестра должен лишь тот, кто отлично понимает устрой- 
ство реестра и работу с его редактором, а также представляет эффекты, вызыва- 
емые тем или иным параметром. Любое непрофессиональное изменение реес- 
тра может сделать систему неработоспособной. Подробнее см. главу Использо- 
вание реестра. 


Аудит 


Аудит может проинформировать о действиях, повышающих риск нарушения 
защиты системы, и о пользователях, выполняющих эти действия. Подробнее см. 
главу Ayoum и мониторинг системы. 


Замечу: аудит только сообщает, какие бюжеты пользователей были задействова- 
ны при выполнении зафиксированных событий. Если пароли защищены соот- 
ветствующим образом, это укажет пользователей, совершавших события. Но 
если пароль был украден или действия были совершены тогда, когда пользова- 
тель был зарегистрирован в системе, но отсутствовал на рабочем месте, это 
указывает на то, что события были совершены кем-то другим. 


Определяя политику аудита, прикиньте, во что Вам обойдется (в терминах дис- 
кового пространства и загрузки процессора) аудит тех или иных событий в 
сравнении с важностью этих событий. Необходимо регистрировать по крайней 
мере попытки неудачных регистраций в системе, попытки доступа к важным 
данным и изменения параметров защиты. Ниже приведены наиболее общие 
случаи нарушения защиты и типы аудита, позволяющие их отслеживать. 
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Нарушение защиты 


Действие 


Использование произвольных 
паролей для подбора 


Использование украденного 
пароля 


Неверное использование 
административных привилегий 
авторизованными 
пользователями 


Вирусная атака 


Неверный доступ 
к важным файлам 


Неверный доступ 
к принтерам 


Регистрация неудачных попыток регистрации 
в системе и выхода из нее. 


Регистрация удачных попыток регистрации в системе 
и выхода из нее. В журнале регистрации при этом не 
будет видно никакой разницы между действиями 
“законного” пользователя и нарушителя. Однако 
анализируя, скажем, необычную активность в те дни, 
когда ее не должно быть, можно сделать вывод 

о незаконном использовании бюджета. 


Регистрация удачного применения прав пользователей; 
управления пользователями и группами, изменений 
политики защиты; перезагрузок, выключений и 
системных событий. (Заметьте: в силу большого 

числа событий аудита WindowsNT обычно не 
регистрирует использование привилегий Backup Files 
And Directories и Restore Files And Directories.) 


Регистрация удачных и неудачных попыток доступа 

к программным файлам с расширениями .EXE 

и .DLL. Регистрация удачного и неудачного отслеживания 
процессов. Запустите подозрительную программу и 
посмотрите в журнале попытки модификации 
программных файлов и создание неожиданных 
процессов. Помните: эта опция вызывает огромное 

число записей в журнале. Ее стоит использовать, 

только если Вы занимаетесь активным мониторингом 
системного журнала. 


Регистрация удачных и неудачных попыток доступа 
к определенным файлам и объектам со стороны 
подозрительных пользователей и групп. 


Регистрация удачных и неудачных попыток доступа 
к файлам и объектам и, в частности, к принтерам 
со стороны подозрительных пользователей и групп. 


Управление журналом безопасности 


Можно указать максимальный размер файла регистрации и события, которые 
произойдут при его переполнении. Подробно см. главу Аудит и мониторинг 


системы. 


Одна из задач администратора сети — регулярная проверка журнала защиты 
для отслеживания важных записей и мониторинга использования системы, а 
также очистка журнала по мере необходимости. Рекомендуется регулярно ар- 
хивировать содержимое журнала перед его очисткой. 


Дополнительно рекомендуется не пренебрегать советами, приведенными в гла- 
ве 2 “Windows NT Security Model” в Windows NT Resource Guide. 
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ПРИЛОЖЕНИЕ В 


Установки, обеспечивающие 
высокую степень защиты 


Стандартных средств защиты обычно достаточно. Однако в ряде случаев имеет 
смысл применять дополнительные меры. 


Требования физической защиты 


Требования физической защиты, рассматривавшиеся для минимальной и обыч- 
ной степеней защиты, применимы и в данном случае. Дополнительно следует 
обратить внимание на физическое подключение компьютера к сети, а в некото- 
рых случаях применять специальные встроенные устройства, позволяющие 
физически ограничить доступ к выключателю питания. 


Сети и безопасность 


Подключая компьютер к сети, Вы тем самым предоставляете путь в свой KOMIIb- 
ютер. Желание обезопасить этот путь вполне естественно. Регистрации пользо- 
вателей и защиты файлов и других объектов достаточно для обеспечения стан- 
дартного уровня защиты, однако для высокой степени защиты необходимо убе- 
диться в защищенности самой сети или даже полностью изолировать компью- 
тер от сети. 


В сетевых подключениях опасность могут представлять другие пользователи 
или неавторизованные подключения. Если все в сети имеют средства защиты 
для доступа к Вашему защищенному компьютеру, то скорее всего Вы подключи- 
те компьютер к сети для облегчения доступа к Вашему компьютеру. 


Когда сеть целиком расположена в охраняемом помещении, риск неавторизо- 
ванных подключений минимизирован или просто исключен. Если же проводка 
местами проходит через неохраняемые участки, используйте на них оптоволо- 
конные линии, исключающие возможность ответвления. 


Чтобы доступ в Internet также был безопасен, воспользуйтесь рекомендациями, 
приведенными в главе Построение глобальных сетей и работа с Internet. 


Контроль за доступом к выключателю питания 


Необходимо следить за тем, чтобы неавторизованные пользователи не имели 
доступа к выключателю питания или кнопке “Сброс” компьютера, особенно 
когда политика защиты в Вашей организации запрещает им выполнять выклю- 
чение компьютера. У самых защищенных компьютеров (кроме тех, что разме- 
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щаются в закрытых и охраняемых помещениях) открыта только клавиатура, 
монитор, мышь и (когда надо) принтер. ЦПУ и съемные накопители должны 
быть заперты и доступны лишь для специального персонала. 


Многие аппаратные платформы могут быть защищены паролем включения. Он 


препятствует неавторизован 


ному персоналу загрузить на компьютере систему, 


отличную OT Windows МТ. Пароль включения — функция аппаратуры, a не опе- 
рационной системы. Поэтому установка такого пароля зависит от типа компь- 
ютера и выполняется в соответствии с указаниями, приведенными в документа- 


ции на компьютер. 


Требования программной защиты 


Некоторые параметры повышенной защищенности можно реализовать только 
с помощью редактора реестра. Право работать с редактором реестра получают 
администраторы, подробно ознакомившиеся с частью IV “Windows МТ Registry” 
в Windows NT Resource Guide. 


Привилегии пользователей 


Ряд привилегий в системах с высокой степенью защиты является объектом 
постоянного внимания и аудита со стороны администраторов. Советую изме- 
нить описанные ниже привилегии с установленных по умолчанию на рекомен- 


дуемые: 

Группы, обладающие Рекомендуемое 
Привилегия по умолчанию изменение 
Log on locally Administrators, Backup Запретить группам 


Позволяет пользователю 
регистрироваться 
локально, с клавиатуры 
компьютера. 


Shut down the system 
Позволяет пользователям 
выключать Windows МТ. 


Operators, Everyone, 
Guests, Power Users, 
Users 


Everyone и Guests. 


Administrators, Backup 
Operators, Everyone, 
Power Users, Users 


Запретить Everyone 
и Users. 


Привилегии, перечисленные в таблице ниже, вообще-то не требуют каких-либо 
изменений относительно значений, установленных по умолчанию. 


Изначально 
Привилегия Позволяет назначается 
Access this computer Пользователю подключаться Administrators, 


from the network 


Act as part of the 
operating system 


к компьютеру по сети. 


Действовать, как защищенная 
и надежная часть 


Everyone, Power Users 


(Никому) 


операционной системы. 
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Изначально 
Привилегия Позволяет назначается 
Add workstations Данная привилегия не имеет (Никому) 


to the domain 


Back up files and 
directories 


Bypass traverse 
checking 


Change the system time 


Create a pagefile 


Create a token object 


Create permanent 
shared objects 


Debug programs 


Force shutdown from 
a remote system 


Generate security audits 


Increase quotas 


никакого эффекта Ha 
машинах, работающих 
под Windows МТ. 


Пользователю выполнять 
резервное копирование 
файлов и каталогов. Эта 


привилегия имеет 


превосходство над правами 
доступа к файлам и каталогам. 


Пользователю изменять 
каталоги и осуществлять 


доступ к файлам в 


подкаталогах, даже если 
доступ к родительскому 


каталогу закрыт. 


Пользователю устанавливать 


внутренний таймер 
компьютера. 


Данная привилегия не имеет 


никакого эффекта на 
машинах, работающих 
под Windows МТ. 


Процессам создавать 
маркеры доступа. 


Пользователю создавать 
специальные постоянные 


объекты типа \\Device, 
которые используются 
в Windows МТ. 


Пользователю отлаживать 
различные низкоуровневые 


объекты типа потоков. 


Данная привилегия не имеет 
никакого эффекта на машинах, 
работающих под Windows МТ. 


Процессу создавать записи 
в журнале аудита защиты. 


Данная привилегия не имеет 
никакого эффекта на машинах, 
работающих под Windows МТ. 


Administrators, Backup 
Operators 


Everyone 


Administrators, 
Power Users 


Administrators 


(Никому) 


(Никому) 


Administrators 


Administrators, 
Power Users 


(Никому) 


(Никому) 
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Изначально 

Привилегия Позволяет назначается 
Increase scheduling Пользователю увеличивать Administrators, 
priority приоритет процесса. Power Users 
Load and unload device Пользователю устанавливать Administrators 
drivers устройств и удалять драйверы. 
Lock pages in memory Пользователю запирать (Никому) 

страницы в памяти, так что 

они не могут быть 

сброшены в PAGEFILESYS. 
Log on as a batch job Данная привилегия не имеет (Никому) 

никакого эффекта на машинах, 

работающих под Windows МТ. 
Log оп as а service Процессу регистрироваться (Никому) 

в системе как сервис. 
Manage auditing and Пользователю указывать, Administrators 
security log какие типы доступа 

к ресурсам подлежат 

регистрации, а также 

просматривать и очищать 

журнал аудита. 
Modify firmware Пользователю изменять Administrators 
environment variables переменные системного 

окружения, хранящиеся 

в долговременной памяти 

систем, поддерживающих 

такой тип конфигурирования. 
Profile single process Пользователю выполнять Administrators, 


Profile system 
performance 


Replace a process-level 
token 


Restore files 
and directories 


Take ownership of 
files or other objects 


профилирование процесса. 


Пользователю выполнять 
профилирование системы. 


Пользователю изменять 
маркер контроля доступа 
к процессу. 


Пользователю восстанавливать 
зарезервированные файлы 
и каталоги. 


Пользователю вступать во 
владение файлами, каталогами, 
принтерами и другими 
объектами. 


Power Users 


Administrators 


(Никому) 


Administrators, 
Backup Operators 


Administrators 
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Защита файлов и каталогов 


В число файлов и каталогов, подлежащих защите, входят файлы, принадлежа- 
щие самой операционной системе. Стандартный набор прав доступа к систем- 
ным файлам и каталогам обеспечивает разумную степень защиты. Однако для 
систем с высокой степенью защиты имеет смысл сразу после установки систе- 
мы предоставить права доступа к файлам и каталогам в соответствии с табли- 
цей, приведенной ниже. Не забудьте, что сначала надо предоставлять доступ к 


родительским каталогам, а потом — к вложенным. 


Каталог 


\WINNT35 


\WINNT35\REPAIR 
\WINNT35\SYSTEM 


\WINNT35\SYSTEM32 


\WINNT35\SYSTEM32\CONFIG 


\WINNT35\SYSTEM32\DHCP 
\WINNT35\SYSTEM32\DRIVERS 


\WINNT35\SYSTEM32\RAS 
\WINNT35\SYSTEM32\082 
\WINNT35\SYSTEM32\SPOOL 


\WINNT35\SYSTEM32\WINS 


Права доступа 


Administrators: Full Control 
CREATOR OWNER: Full 
Control Everyone: Read 
SYSTEM: Full Control 


Administrators: Full Control 


Administrators: Full Control 
CREATOR OWNER: Full Control 
Everyone: Read 

SYSTEM: Full Control 


Administrators: Full Control 
CREATOR OWNER: Full Control 
Everyone: Read 

SYSTEM: Full Control 


Administrators: Full Control 
CREATOR OWNER: Full Control 
Everyone: List 

SYSTEM: Full Control 


(Удалить) 


Administrators: Full Control 
CREATOR OWNER: Full Control 
Everyone: Read 

SYSTEM: Full Control 


(Удалить) 
(Удалить) 


Administrators: Full Control 
CREATOR OWNER: Full Control 
Everyone: Read 

Power Users: Change 

SYSTEM: Full Control 


(Удалить) 


Некоторые критичные для работы операционной системы файлы находят- 
ся в корневом каталоге системного раздела диска компьютеров с процессо- 
рами Intel® 80486 и Pentium®. В системах с высокой степенью защиты уста- 
новите следующие права доступа к этим файлам. 
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File C2-Level Permissions 
_ \BOOTLNI, \NTDETECT.COM, \NTLDR Administrators: Full Control 
SYSTEM: Full Control 
\AUTOEXEC.BAT, \CONFIG.SYS Everybody: Read 


Administrators: Full Control 
SYSTEM: Full Control 


Для просмотра этих файлов в File Manager выберите в меню View команду By 
File Туре и пометьте флажок Show Hidden/System Files. 


защита реестра 


В дополнение к требованиям стандартной защиты администратор систем с 
высокой защитой должен установить защиту некоторых ключей в реестре. 


По умолчанию различные компоненты реестра защищены таким образом, 
чтобы обеспечивать стандартный уровень безопасности. Для обеспечения 
высокого уровня безопасности надо указать права доступа к определенным 
ключам реестра. Делать это следует чрезвычайно внимательно, так как про- 
граммы, выполняемые пользователями, часто нуждаются в доступе к различ- 
ным ключам “от имени” пользователя. 


В частности, для следующих ключей группа Everyone должна иметь только 
права QueryValue, Enumerate Subkeys, Notify, и Read. 


В диалоговом окне HKEY LOCAL MACHINE on Local Machine: 


\Softwware\Microsofi\RPC (и все подключи) 
\Software\Microsoft\WindowsNT\CurrentVersion 
В поддереве _ \Software\Microsoft\WindowsNT\CurrentVersion\: 

Profile List 

AeDebug 

Compatibility 

Drivers 

Embedding 

Fonts 

FontSubstitutes 

GRE_Initialize 

MCI © 

FontSubstitutes 

GRE_Initialize 

MCI 

MCI Extensions 

Port (и все подключи) 

WOW (и все подключи) 

Windows3.1 MigrationStatus (и все подключи). 
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В диалоговом окне HKEY CLASSES ROOT on Local Machine: 


\HKEY CLASSES ROOT (и все подключи). 


Сервис планирования (команда АТ) 


Сервис планирования (известный по команде АТ) используется для автомати- 
ческого запуска заданий в установленное время. Так как запланированное зада- 
ние выполняется в контексте планировщика (обычно контекст операционной 
системы), то в системах с высокой степенью защиты планировщик использо- 
вать нельзя. 


По умолчанию только администраторы могут выполнять команды АТ. Чтобы 
системные операторы тоже могли применять команду АТ, используйте редак- 
тор реестра для создания следующего значения: 


Улей: HKEY LOCAL МАСНИМЕ\$УЗТЕМ 
Ключ: \CurrentControlSet\Control\Lsa 
Имя: Submit Control 

Тип: REG_DWORD 

Значение: ] 


Предоставить право исполнения команды AT еще кому-либо невозможно. Из- 
менения вступят в силу после перезагрузки компьютера. Также желательно об- 
новить Emergency Repair Disk для отражения внесенных изменений. 


Сокрытие имени последнего пользователя 


По умолчанию в Windows МТ имя последнего зарегистрировавшегося на компь- 
ютере пользователя помещается в поле Username диалогового окна регистра- 
ции. Это сделано для удобства пользователя, обычно регистрирующегося на 
данном компьютере. Для содействия сохранению имен пользователей в секрете 
в Windows МТ можно запретить отображение имени последнего зарегистриро- 
вавшегося пользователя. Это особенно важно, если через общедоступный ком- 
пьютер осуществлялся доступ с измененным именем администратора. 


Чтобы запретить показ имени пользователя в диалоговом окне регистрации, 


используйте редактор реестра для создания или переопределения следующего 
ключа: 


Улей: HKEY ТОСАГ, MACHINE\SOFTWARE 

Ключ: \Microsoft\WindowsNT\Current Version\Winlogon 
Имя: DontDisplayLastUserName 

Тип: ВЕС SZ 


Значение: 1 
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Ограничение процесса загрузки 


На большинстве современных ПК поддерживается возможность загрузки раз- 
личных операционных систем. Например, если Вы обычно загружаете Windows 
МТ с диска C:, кто-либо может выбрать иную версию Windows на другом диске, 
включая гибкий или СО-КОМ-диск. Если это произойдет, все меры безопаснос- 
TH, предпринятые Вами в обычной версии Windows МТ, могут быть нарушены. 


Вообще на компьютере необходимо устанавливать только те операционные 
системы, которые Вы хотите использовать. Для систем с высокой степенью за- 
щиты это означает установку только одной версии Windows МТ. Однако про- 
цессор необходимо защитить физически, чтобы никто другой не смог устано- 
вить иную операционную систему. В зависимости от обстоятельств можно ис- 
ключить накопители на гибких дисках. В некоторых компьютерах можно зап- 
ретить загрузку с гибких дисков путем установки перемычек или переключате- 
лей внутри процессорного блока. При этом либо заприте корпус компьютера 
(если это возможно), либо поставьте компьютер в отдельном защищенном по- 
мещении. 


Разрешение выключать компьютер только 
зарегистрированным пользователям 


Обычно для выключения Windows NT Workstation без регистрации в системе 
надо щелкнуть кнопку Shutdown в диалоговом окне регистрации. Выполнение 
shutdown необходимо, если пользователи имеют доступ к выключателю пита- 
ния или кнопке Везег; в противном случае они могут ими воспользоваться, что 
приведет к ненормальному выключению системы. Если же пользователи лише- 
ны доступа к столь ответственным кнопкам, можно запретить выполнять 
shutdown без регистрации в системе. Этот шаг не требуется для Windows МТ 
Server, так как он сконфигурирован для этого по умолчанию. 


Чтобы пользователи могли заглушить систему только после предварительной 
регистрации в ней, внесите в реестр следующие изменения и перезагрузите 


компьютер: 

Улей: HKEY LOCAL MACHINE\SOFTWARE 

Ключ: \Microsoft\WindowsNT\Current Version\Winlogon 
Имя: эпиохп\/ИоиИо>?0п 

Тип: ВЕС SZ 

Значение: 0 


Желательно обновить Emergency Repair Disk для отражения внесенных изме- 
нений. 
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Контроль за доступом к съемным 
устройствам хранения 


По умолчанию Windows МТ позволяет любой программе осуществлять до- 
ступ к файлам на гибких или компакт-дисках. В системах с высокой сте- 
пенью защиты и в многопользовательских условиях рекомендуется предо- 
ставлять доступ к таким устройствам только тем, кто непосредственно работает 
за компьютером. Это позволит заносить информацию на такие носители, не 
опасаясь, что другой пользователь или программа модифицируют эти данные. 


При работе в таком режиме накопители на гибких или компакт-дисках пре- 
доставляются пользователю в процессе регистрации. При выходе пользова- 
теля из системы к этим устройствам предоставляется свободный доступ. 
Поэтому важно всю информацию, хранящуюся на них, удалить до выхода из 
системы. 


Примечание: В Windows МТ любой пользователь имеет доступ к накопителю на 
магнитной ленте и, таким образом, может записать и прочитать содержимое 
ленты. Вообще это не опасно, так как интерактивно работать на компьютере 
может только один пользователь. Но существует небольшая вероятность того, 
что программа, запущенная предыдущим пользователем, продолжает выпол- 
няться даже после его выхода из системы. Когда следующий пользователь поме- 
стит ленту в накопитель, программа скрытно передаст важную информацию с 
ленты. Во избежание этого перезагрузите компьютер перед использованием 
ленты. 


Предоставление гибких дисков при регистрации 


Используйте редактор реестра для модификации или создания следующего 
ключа: 


Улей: НКЕУ LOCAL МАСНИМЕ\$ОЕТУ/АВЕ 

Ключ: \Microsoft\WindowsNT\CurrentVersion\Winlogon 
Имя: AllocateFloppies 

Тип: REG_DWORD 

Значение: 1 


Если этого ключа нет или установлено иное значение, гибкие диски будут дос- 
тупны для совместного использования всеми процессами системы. 


Это значение сработает только при следующей регистрации и не окажет ника- 
кого эффекта в течение текущего сеанса. Пользователь должен выйти из систе- 
мы и зарегистрироваться вновь. 
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Предоставление компакт-дисков при регистрации 


Используйте редактор реестра для создания или модификации следующего 


ключа: 

Улей: HKEY LOCAL MACHINE\SOFTWARE 

Ключ: \Microsoft\WindowsNT\CurrentVersion\Winlogon 
Имя: AllocateCDRoms 

Тип: ВЕС DWORD 

Значение: 1 


Если этого ключа нет или установлено иное значение, компакт-диски будут 
доступны для совместного использования всеми процессами системы. 


Это значение сработает только при следующей регистрации и не окажет ника- 
кого эффекта в течение текущего сеанса. Пользователь должен выйти из систе- 
мы и зарегистрироваться вновь. 
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ПРИЛОЖЕНИЕ Г 


Установки, необходимые 
для соответствия защиты уровню С2 


В этом приложении описаны конфигурация и настройка системы, использовав- 
шиеся при сертификации Windows МТ на соответствие уровню C2. Во многом 
эти требования повторяют описанные в приложении В, однако в данном случае 
они привязаны к определенной технике. Аппаратные платформы, использовав- 
шиеся при этом, перечислены в Приложении J. Все сказанное ниже относится 
к Windows NT Workstation и Windows МТ Server версии 3.5. 


»> Распакуйте и установите технику. 


Следуйте инструкции, прилагаемой к технике. 


> Установите АКС-соответствующее firmware. 


Если Ваша RISC-cuctema не сконфигурирована на использование АЁКС-соот- 
ветствующего firmware, установите его отдельно в соответствии с прилагае- 
мыми к нему инструкциями. Свяжитесь с представителями Digital Equipment 
Corporation (DEC™) или поставщиком Вашей техники для получения теку- 
щей версии АЕС-соответствующего firmware. В системах Alpha AXP™/150 
должно быть firmware версии 3.5-5 для соответствия уровню защиты C2. 


> Установите пароль включения. 


Для этого: 


На компьютерах фирмы Compaq® Computer Corporation 


ЕР 


Вставьге компакт-диск SmartStart® в накопитель Ha СО и включите 
питание компьютера. Компьютер загрузится с компакт-диска и за- 
пустит утилиту SmartStart. 


Выберите в меню Non-SmartStart Setup. 


Выберите System Configuration в меню Manual Configuration 
And Server Utilities. 


Выберите Configure Hardware в меню System Configuration. 
Утилита попытается сконфигурировать технику автоматически, а 
затем появится диалоговое окно Configuration Complete. 


Выберите Review Or Modify Hardware Settings и нажмите клави- 
шу Enter. 


В меню Steps In Configuring Your Computer выберите Step 3: 
View Or Edit Details, a затем нажмите клавишу Enter. 
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7. В диалоговом окне View Or Edit Details выберите Set Power-On 
Password: Disabled. 


8. Введите пароль и нажмите клавишу Enter. Затем введите пароль 
снова и нажмите Enter. 


9. Нажмите клавишу F10. 


10. В меню Steps In Configuring Your Computer выберите Step 5: 
Save And Exit, a затем нажмите клавишу Enter. 


41. Нажмите клавишу Enter. 


12. В меню Save and Edit выберите Save the Configuration and Re- 
Start и нажмите клавишу Enter. 


Внимание: Существует возможность того, что нарушитель откроет 
компьютер и получит доступ к переключателям, запрещающим ис- 
пользование пароля включения. Кроме того, он может установить 
дополнительный жесткий диск с менее защищенной операцион- 
ной системой или с Windows МТ, но не включающей установок за- 
щиты. Поэтому необходимо принять меры для предотвращения 
такого доступа. Если модель компьютера позволяет, его надо запе- 
реть, либо поставьге компьютер в защищенном, хорошо вентили- 
руемом помещении. 


На компьютерах с процессором Alpha AXP фирмы Digital Equipment Сог- 
poration: 


1. Включите компьютер. 
2. В меню Boot выберите Supplementary. 
3. В меню Supplementary выберите Set Up The System. 
4. В меню Setup выберите Set Firmware Password. 
5. Введите пароль дважды, а затем нажмите клавишу Enter. 
6. Нажмите клавишу Esc для выхода в меню Supplementary. 
Процесс установки пароля завершен. 
> Установите Windows МТ. 


Установку Windows МТ выполняйте в соответствии с инструкциями, приве- 
денными в главе 1 “Installing Windows МТ Workstation” в руководстве Windows 
NT Workstation Installation Guide. При этом: 


1. Вы должны выбрать настраиваемую установку (Custom Setup). 
Это позволит установить только необходимые компоненты. 


2. Все разделы жесткого диска должны быть отформатированы в 
NTFS, кроме небольшого системного раздела (2-MB) для ВС-сис- 
тем. Подробнее о разбиении диска на разделы см. раздел “Speci- 
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fying the Disk Partitions” в главе 1 “Installing Windows NT 
Workstation” руководства Windows NT Workstation Installation Guide. 
Для соответствия уровню защиты C2 Ha компьютере не должно 
быть установлено никаких других операционных систем. 


3. Вы не должны устанавливать сетевое программное обеспечение. 
Если Вы устанавливаете Windows МТ Server, в диалоговом окне 
Windows МТ Server Security Role выберите опцию Server. При yc- 
тановке как Windows NT Workstation, так и Windows NT Server при 
появлении текста “Setup will perform the following optional tasks...” 
сбросьге флажок Set Up Network. 


4. В диалоговом окне Administrator Account Setup не оставляйте ад- 
министративный пароль пустым. Длина введенного пароля должна 
составлять минимум 6 символов, отгадать которые было бы непросто. 


5. В диалоговом окне Local Account можно создать учетную запись 
для пользователя, выполняющего на компьютере обычную работу. 
Помните: по умолчанию эта учетная запись будет включена в адми- 
нистративную группу, позволяющую создавать новые учетные за- 
писи. Подробнее о возможностях группы Administrators см. раз- 
дел Привилегии встроенных учетных записей в этой книге. 


6. Создайте Emergency Repair Disk. Это поможет облегчить восста- 
новление системы, если база данных конфигурации будет повреж- 
дена. 


> Запустите WindowsNT и зарегистрируйтесь как Administrator. 


Перезагрузите компьютер и запустите Windows МТ. Зарегистрируйтесь под 
административной учетной записью Administrator. Она позволит выпол- 
нить остальные шаги по конфигурированию. 


> Установите Microsoft Windows МТ 3.5 Workstation и Server U.S. Service Pack 3. 


1. Если установка Service Pack выполняется с гибких дисков, вставьте 
диск 1 в соответствующее устройство. При установке с компакт- 
диска вставьте диск в накопитель CD-ROM. 


2. В Program Manager выберите команду Run в меню File. 


3. Для запуска программы установки введите диск:\система\ираше 
[где система соответствует типу компьютера (например Alpha или 
i386™), а диск — буква, соответствующая диску, содержащему уста- 
новочную дискету или компакт-диск]. Далее следуйте инструкциям 
программы. 


> Запретите работу подсистем OS/2® и POSIX. 


Для запрета подсистем OS/2 и POSIX используйте редактор реестра, как это 
описано в Windows NT Resource Gitide, для удаления любого текста, связанно- 
го с ключом реестра: 
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Улей: HKEY LOCAL MACHINE\SYSTEM 

Ключ: CurrentControlSet\Control\Session Manager\ SubSystems 
Имя: Произвольное 

Значение: Null 


Изменения вступят в силу после перезагрузки системы. Вы можете обновить 
Emergency Repair Disk для отражения внесенных изменений. 


> Защитите системный раздел (только Ha RISC-cucTeMax). 


На В!5С-компьютере запустите Disk Administrator и выберите команду 
Secure System Partition в меню Partition. Это обеспечит возможность доступа 
к файлам на системном разделе только пользователям, принадлежащим к 
группе администраторов. 


> Измените значок User Manager. 


Если Вы устанавливаете Windows NT Server, удалите программный элемент 
User Manager For Domains и добавьте User Manager, как это описано в 
главе “Program Manager” в Windows NT Server System Guide. Имя исполняемого 
файла, соответствующего User Manager, — MUSRMGR EXE. 


> Установите минимальную длину пароля (CM. раздел Изменение минимальной 
длины пароля). 


> Запретите использование учетной записи Guest (см. раздел Учетная запись 
Guest). 


> Ограничьте использование привилегий и прав пользователей (см. раздел 
Изменение привилегий пользователей). Привилегии должны быть огра- 
ничены в соответствии со следующей таблицей: 


Для соответствия 


Привилегия Дана по умолчанию уровню C2 


Access this computer Administrators, Everyone, Не требуется изменений. 


from the network Power Users 

Act as part of the (Никому) Не требуется изменений; 
operating system не давать никому. 

Add workstations to (Никому) Не требуется изменений. 


the domain 


Back up files and 
directories 


Bypass traverse 
checking 


Change the system 
time 


Create a pagefile 


Create a token object 


Administrators, 
Backup Operators 


Everyone 


Administrators, Power 
Users 


Administrators 


(Никому) 


Не требуется изменений. 
Не требуется изменений. 
Не требуется изменений. 
Не требуется изменений. 


Не требуется изменений; 
не давать никому. 
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Для соответствия 


Дана по умолчанию уровню C2 


Привилегия 


Create permanent 
shared objects 


Debug programs 


Force shutdown from 
a remote system 


Generate security 
audits 


Increase quotas 


Increase scheduling 
priority 


Load and unload 
device drivers 


Lock pages in memory 
Log on as a batch job 
Log on as a service 


Log on locally 


Manage auditing 
and security log 


Modify firmware 
environment variables 


Profile single process 


Profile system 
performance 


Replace a process- 
level token 


Restore files and 
directories 


Shut down the system 


Take ownership of files 
or other objects 


(Никому) 


Administrators 


Administrators, 
Power Users 


(Никому) 


(Никому) 


Administrators, 
Power Users 


Administrators 


(Никому) 
(Никому) 


(Никому) 


Administrators, Backup 
Operators, Guests, 
Power Users, Users 


Administrators 


Administrators 


Administrators, 
Power Users 


Administrators 


(Никому) 


Administrators, 
Backup Operators 


Administrators, Backup 
Operators, Power Users, 
Users 


Administrators 


Не требуется изменений. 


Удалить Administrators. 
Эта привилегия не 
подлежит аудиту, поэтому 
ее нельзя предоставлять 
кому бы то ни было, 
включая администраторов. 


Не требуется изменений. 
Не требуется изменений; 
не давать никому. 


Не требуется изменений. 


Не требуется изменений. 


Не требуется изменений. 


Не требуется изменений. 
Не требуется изменений. 
Не требуется изменений. 
Удалить группу Guests. 
Не требуется изменений. 
Не требуется изменений. 
Не требуется изменений. 
Не требуется изменений. 
Не требуется изменений; 
не давать никому. 


Не требуется изменений. 


Удалить группу Users. 


Не требуется изменений. 
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> Разрешить выключение системы только зарегистрированным пользовате- 
JAM. 


Установив Windows NT Workstation, убедитесь, что компьютер нельзя вы- 
ключить без предварительной регистрации. Этот шаг можно пропустить, 
если Вы установили Windows МТ Server, так как для него это устанавливается 
по умолчанию. 


Для разрешения выключения компьютера только зарегистрированным 
пользователям используйте редактор реестра для редактирования значения 


ключа: 

Улей: HKEY LOCAL MACHINE\SOFTWARE 

Ключ: \Microsoft\WindowsNT\Current Version\Winlogon 
Имя: ShutdownWithoutLogon 

Значение: 0 


> Установите поведение журнала безопасности. 


Используйте Event Viewer для установки параметров журнала безопасности. 
Выберите опцию Do Not Overwrite Events (Clear Log Manually). Дополни- 
тельно можно предписать Windows NT останавливаться в случае невозмож- 
ности аудита события так, как это описано в главе Аудит и мониторинг си- 
стемы. Можно указать на необходимость регистрации применения приви- 
легий, с помощью редактора реестра создав или модифицировав следующие 


значения: 

Улей: HKEY LOCAL MACHINE 

Ключ: SYSTEM\CurrentControlSet\Control\Lsa 
Имя: FullPrivilegeAuditing 

Tun: REG_BINARY 

Значение: 1 


Изменения вступят в силу после следующей перезагрузки системы. Вы може- 
те обновить Emergency Repair Disk для отражения внесенных изменений. 


> Определите правила работы с гибкими дисками или компакт-дисками. 


Для предоставления возможности использования гибких дисков или ком- 
пакт-дисков только зарегистрированным пользователям в редакторе реестра 
создайте или измените следующие значения: 


Улей: HKEY LOCAL MACHINE\SOFTWARE 

Ключ: \Microsoft\WindowsNT\CurrentVersion\Winlogon 
Имя: AllocateFloppies 

Тип: ВЕС DWORD 


Значение: 1 


Улей: 

Ключ: 

Имя: AllocateCDRoms 
Tun: REG DWORD 
значение: ] 


Приложения 331 


HKEY _ТОСАГ _MACHINE\SOFTWARE 


\Microsoft\WindowsNT\CurrentVersion\Winlogon 


Если значение не установлено или имеет другую величину, накопители на 
гибких дисках будут доступны для совместного использования всеми про- 


цессами системы. 


Изменения вступят в силу после следующей регистрации в системе. Если 
пользователь уже зарегистрирован на момент установки значения, оно 
не будет активизировано до следующего сеанса работы. Пользователь 
должен разрегистрироваться, а затем зарегистрироваться вновь. 


Защитите файлы и каталоги операционной системы. 


Используйте File Manager для установки прав доступа к каталогам и файлам. 


как это указано в таблице: 
Каталог 


\WINNT35 


\WINNT35\REPAIR 
\WINNT35\SYSTEM 


\WINNT35\SYSTEM3 


\WINNT35\SYSTEM32\NTBACKUP.EXE 


\WINNT35\SYSTEM32\CONFIG 


\WINNT35\SYSTEM32\DHCP 
\WINNT35\SYSTEM32\DRIVERS 


\WINNT35\SYSTEM32\RAS 
\WINNT35\SYSTEM32\OS2 


Права доступа 


Administrators: Full Control 
CREATOR OWNER: Full Control 
Everyone: Read 

SYSTEM: Full Control 


Administrators: Full Control 


Administrators: Full Control 
CREATOR OWNER: Full Controi 
Everyone: Read 

SYSTEM: Full Control 


Administrators: Full Control 
CREATOR OWNER: Full Controi 
Everyone: Read 

SYSTEM: Full Control 


Administrators: Full Control 
SYSTEM: Full Control 


Administrators: Full Control 
CREATOR OWNER: Full Control 
Everyone: List ге 
SYSTEM: Full Control 

(Удалите этот каталог) 


Administrators: Full Control 
CREATOR OWNER: Full Control 
Everyone: Read 


SYSTEM: Full Control 


(Удалите этот каталог) 


(Удалите этот каталог) 
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Каталог Права доступа 


\WINNT35\SYSTEM32\SPOOL Administrators: Full Control 
ы CREATOR OWNER: Full Control 
Everyone: Read 
Power Users: Change 
SYSTEM: Full Control 


\WINNT35\SYSTEM32\WINS (Удалите этот каталог) 


Изменение прав доступа к \WINNT35\SYSTEM32\NTBACKUPEXE сделает не- 
возможным пользователям выполнять резервное копирование. Если же Вы 
хотите, чтобы отдельные пользователи могли выполнять резервное копиро- 
вание, создайте отдельный каталог для МТВАСКОРЕХЕ и пользователям, KO- 
торые будут делать резервное копирование, предоставьте полный доступ. 


Некоторые критичные системные файлы располагаются в корневом катало- 
ге системного раздела диска на системах Intel 80486 и Pentium. На эти файлы 
необходимо установить следующие права доступа: 


Файл Права доступа для уровня C2 
\BOOT.INI, \NTDETECT.COM, Administrators: Full Control 
\NTLDR SYSTEM: Full Control 


\AUTOEXEC.BAT, \CONFIG.SYS Everyone: Read 
Administrators: Full Control 
SYSTEM: Full Control 


> Защитите ключи реестра. 


Используйте редактор реестра для защиты перечисленных ниже ключей так, 
чтобы группа Everyone имела только следующие виды доступа: QueryValue, 
Enumerate Subkeys, Notify и Read Control. 


В диалоговом окне HKEY LOCAL MACHINE on Local Machine: 
\Softtware\Microsoft\RPC (и все подключи) 
\Software\Microsoft\WindowsNT\CurrentVersion 
Для \Software\Microsoft\WindowsNT\CurrentVersion\ все ветви: 

Profile List 

AeDebug 

Compatibility 

Drivers 

Embedding 

Fonts 

FontSubstitutes 

СКЕ Initialize 

MCI 

MCI Extensions 

MidiMap 

Port (и все подключи) 

WOW (и все подключи) 

Window's3.1 MigrationStatus (и все подключи). 
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В диалоговом окне HKEY_CLASSES_ ROOT оп Local Machine: 
\HKEY CLASSES ROOT (и все подключи). 
Ограничьге управление буквами дисков и принтерами. 


Управление буквами дисков и принтерами ограничивается в редакторе рее- 
стра созданием или указанием значений для ключей реестра: 


Улей: HKEY LOCAL MACHINE 

Ключ: SYSTEM\CurrentControlSet\Control\Session Manager 
Имя: ProtectionMode 

Тип: REG_DWORD 

Значение: 1 | 


Перегрузите компьютер. 
Обновите Emergency Repair Disk. 


При потере системных файлов используйте Emergency Repair Disk, a не 
утилиту Restore. Backup и Restore ие копируют системные списки контро- 
ля доступа (SACL). Восстанавливает эту информацию только Emergency Ве- 
pair Disk. 
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ПРИЛОЖЕНИЕ Д 


Системы, на которых Windows МТ 
сертифицирован на соответствие 
уровню C2 


При проверке Windows МТ на соответствие уровню защиты C2 использова- 
лись следующие компьютеры: 


Compaq” ProLiant™ 2000 и 4000 
DECpc AXP/150 


Compag ProLiant 2000 и 4000 > 


Компьютеры фирмы Compaq моделей ProLiant 2000 и ProLiant 4000 исполь- 
зовались при тестировании Windows NT на соответствие YPOBHIO защиты 
C2. ProLiant 2000 поддерживает до 2 процессоров, a ProLiant 4000 — до 4 
процессоров. Они предназначены для использования в качестве файл-сер- 
веров, однако рассматривались как отдельно стоящие компьютеры с отклю- 
ченными сетевыми возможностями. При тестировании рассматривались 


следующие компоненты: 


Номер по 
Компонент Описание Производитель каталогу Сотраа 
Системная плата Tri-Flex EISA Compaq Tri-Flex 
Процессорный Репиип/90 Compaq 199050-001 
МОДУЛЬ Pentium/100 Compaq 165888-001 
Память 16 МВ, 70 ns Compaq 149949-001 
32 МВ, 70 ns Compaq 149912-001 
64 MB, 70 ns Compaq 149913-001 
128 MB, 70 ns Compaq 149914-001 
Видеоадаптер SVGA 1024x768x4 Compaq (Ha плате) 
$С-контроллер 32-bit FAST $6$1-2 Compaq 142013-001 
НЖМД 1.5 GB SCSI-2 Compaq 146742-003 
2.1 GB SCSI-2 Compaq 146742-004 
Съемные диски CD-ROM Compaq 142193-001 
3.5" 1.44 MBFDD Compaq 113638-001 
4.0 GB DAT Digital TLZO7 
2/8 GB DAT Compaq 142019-001 
Клавиатура 101-key English Compaq 160650-101 
Мышь 3-button _ Compaq 141649-002 
Принтер НР® LaserJet® IV Hewlett-Packard® 
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Проверка целостности процессора 


Производитель компьютера поставляет совместно с ним диагностические тес- 
ты, позволяющие контролировать правильность работы компьютера. Необхо- 
димо выполнить такую проверку перед установкой Windows МТ, а затем выпол- 
нять ее на регулярной основе. В документации, поставляемой с компьютером, 
приведены инструкции по проведению этих тестов и расшифровка резульга- 
тов. В дополнение к диагностике, поставляемой производителями компьютеров 
на базе процессоров Intel 80486 и Pentium, существует диагностический тест 
процессоров этих компьютеров. Этот тест можно получить, позвонив в лабора- 
торию Lone Star Evaluation Laboratories по телефону 1-800-535-5735 или 
(512)746-2251. 


Проверка целостности периферии 


Для проверки правильности работы периферийных устройств совместно с 
описанными в данном приложении компьютерами используйте тесты, по- 
ставляемые вместе с компьютерами. 


ОЕСрс АХР/150 


Система фирмы ПЕС, участвовавшая в тестировании Windows МТ на соот- 
ветствие уровню защиты C2, DECpc АХР/150 может быть сконфигурирована 
для работы в качестве сервера или рабочей станции. Она тестировалась с 
отключенными сетевыми возможностями. В таблице перечислены компо- 
ненты, включенные в тестирование. 


Номер по 

Компонент Описание Производитель каталогу Digital 
Системная плата EISA Digital PB22H-KB 
Процессор 21064-АА/150 Digital 54-20674-04 
Видеоадаптер Qvision® SVGA Compaq PB2GA-AA 
$С$1-контроллер Adaptec™ 1742 Adaptec PB2HA-SA 

High Performance Adaptec PCTAZ-AB 

Low Cost Adaptec PCTAZ-AD 
НЖМЛ 555 МВ SCSI Digital PB2RA-EA 

126 MB SCSI Digital RZ25 

1.6 GB SCSI Digital RZ27 

2.0'GB SGI Digital RZ28 
Съемные диски CD-ROM RRD42 Digital PB2SA-AA 

5.5" 1.44 MBFDD Digital RX26-AA 

525 MBQIC Tape ___ Digital TZK10 

4.0 GB DAT Digital TLZO7 

395 MB Cartridge Digital | TZ350 


Tape 
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Номер по 
Компонент Описание Производитель каталогу Digital 
Клавиатура 101-Кеу English Digital PCXAL-FA 
Мышь 3-button Digital PCXAS-AA 


Принтер НР LaserJet IV Hewlett-Packard 


Проверка целостности процессора 


Тесты целостности процессора для конфигурации, описанной в этом при- 
ложении, можно найти в каталоге ALPHASYS на компакт-диске Service Pack 3. 
В файле README.TXT содержатся указания по запуску этих тестов. 


Проверка целостности периферии 


Hardware Compatibility Test (НСТ), распространяемый Microsoft на диске 
MSDN level 2, использовался при тестировании на соответствие уровню C2 
целостности периферийных устройств. Для приобретения MSDN level 2 об- 
ращайтесь к партнерам Microsoft. 


СЛОВАРЬ ТЕРМИНОВ 


Авторизация 


Проверка регистрационной информации о пользователе. Если пользователь регист- 
рируется Ha Window's NT Workstation, авторизация выполняется на этой рабочей стан- 
ции. При регистрации пользователя в домене авторизация выполняется на контролле- 
ре домена. См. Доверительные отношения. 


Административные сигналы тревоги 


Когда в компьютере генерируется административный сигнал тревоги, предустанов- 
ленному списку пользователей или компьютеров рассылаются сообщения. Эти сооб- 
щения относятся к серверу и ресурсам. Они предупреждают о нарушении защиты и 
доступа, проблемах сеансов пользователей, выключениях сервера при сбоях питания 
(при наличии UPS), проблемах тиражирования каталогов, проблемах печати. Занима- 
ется этим сервис Alerter. 


Аудит 


Проверка элементов управления системой. 


Аудит каталогов 


Отслеживание использования одного или нескольких каталогов. 


Аудит печати 


Функция, позволяющая отслеживать доступ к определенным принтерам. 


Аудит приложений 


Регистрация событий, связанных с процессами ввода, обработки и вывода внутри при- 
ложений. 


Аудит реестра 


Отслеживание событий, связанных с попытками открыть ключ реестра или извлечь из 
него информацию. 


Аудит страницы Книги обмена 


Функция, позволяющая отслеживать работу отдельных пользователей с содержимым 
страницы Книги обмена. 


Аудит удаленного доступа 


Функция, позволяющая отслеживать деятельность серверов удаленного доступа. 
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Аудит файлов 


Отслеживание использования одного или нескольких файлов 


Аутентификация 


См. Авторизация. 


База данных домена 


См. База данных SAM. 


База данных $АМ 


База данных информации безопасности, содержащая имена )’четных записей пользо 
вателей и пароли, а также установки политики безопасности. В Window's NT Workstation: 
управление базой SAM выполняется в User Мапавег, а в Windows NT Server — в User 
Manager for Domains. 

Блокировка учетной записи 


Функция, позволяющая блокировать определенную учетную запись на заданный про 
межуток времени при превышении указанного количества неудачных попыток регис 
трации в системе. 

Буфер 


Место для временного хранения информации. 


Буфер Обмена 


Место в памяти, используемое для передачи информации. Информацию можно копи: 
ровать в Буфер Обмена, а затем вставлять в другой документ, приложение или Книг} 
обмена. 

Буфер экрана 


Память, отводимая для отображения командной строки 


Ветвь 


Часть дерева каталогов, представляющая каталог и все его подкаталоги 


Виртуальная память 


Создаваемое с помощью страничных файлов Windows NT пространство на жесткох 
диске, используемое в Windows МТ в качестве фактической памяти. Преимущества 
страничной памяти — возможность выполнения большего числа приложений, чех 
допускается фактическим объемом физической памяти. Недостатки — уменьшение дис 
кового пространства, занимаемого файлом подкачки, и снижение производительности 
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Владелец 


Владелец файла или каталога полностью контролирует их и может изменять права 
доступа к ним. По умолчанию владельцем файла является создавший его пользователь. 
Владельцем ресурса является лицо, использующее ресурс в данный момент. 


Внешняя команда 


Команда, хранящаяся в собственном файле и загружаемая с диска только при ее ис- 
пользовании. 


Внутренняя команда 


Команда, хранящаяся в файле CMD.EXE и находящаяся в памяти постоянно. 


Время регистрации 


В Windows NT Server — дни недели и время суток, в течение которых пользователь 
может регистрироваться в системе. По истечении времени регистрации пользователь 
может быть либо отключен. либо продолжит работу, но не сможет выполнять новых 
подключений. 


Встроенные группы 


Группы, входящие в Windows NT Workstation и Window's NT Server по умолчанию. Встро- 
енные группы обладают набором привилегий и прав. В большинстве случаев встроен- 
ные группы удовлетворяют всем потребностям пользователей. Включая пользователей 
в те или иные группы, добиваются наличия у них необходимых привилегий. Группами 
управляют через User Manager. 


Встроенный объект 


Представляет информацию, созданную другим приложением. Информация встроен- 
ного объекта не существует за пределами документа, в который она встроена. 


Вход контроля доступа (АСЕ) 


Элемент в списке контроля доступа (ACL). Вход содержит идентификатор безопасно- 
сти пользователя (512) и набор прав доступа. Процесс с совпадающим идентификато- 
ром имеет либо разрешающие права, либо запрещающие, либо разрешающие права с 
аудитом. Подробнее см. Список контроля доступа. 


Глобальная группа 


В Windows NT Server группа, которая может использоваться в собственном домене, сер- 
верах и рабочих станциях домена и доверяющих доменах. Во всех случаях глобальная 
группа имеет предоставленные права и привилегии и может становиться членом ло- 
кальных групп. Однако глобальная группа может содержать )’четные записи пользова- 
телей только собственного домена. Глобальные группы обеспечивают способ созда- 
ния удобных назначений для пользователя внутри домена. Эти назначения доступны 
как внутри, так и вне домена. 
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Глобальные группы не создаются и не поддерживаются Window's NT Workstation. Однако 
рабочие станции с Windows NT Workstation, входящие в домен, могут предоставлять 
глобальным группам домена права и привилегии для этих рабочих станций. Глобаль- 
ные группы могут становиться членами локальных групп в этих рабочих станциях. 


Глобальная учетная запись 


В Windows NT Server обычная учетная запись пользователя в домашнем домене. Если 
в сети существует несколько доменов, то предпочтительно, чтобы каждый пользова- 
тель в сети имел только одну учетную запись и только в одном домене; доступ пользо- 
вателя к ресурсам других доменов должен осуществляться через систему доверитель- 
ных отношений. 


Группа 


В User Manager учетная запись, включающая в себя другие учетные записи, называемые 

ленами группы. Права и привилегии, предоставленные группе, предоставляются и ее 
членам, что удобно для назначения общих свойств целому ряду учетных записей поль- 
зователей. В Windows NT Workstation группами управляют с помощью User Manager. В 
Windows NT Server — User Manager for Domains. 


Группа программ 


В Program Manager набор приложений. Группирование облегчает поиск приложений. 


Двухъярусная модель построения сети 


Такая модель организации доверительных отношений между доменами, в которой все 
домены делятся на две категории: домены учетных записей и ресурсные домены. Все 
ресурсные домены доверяют доменам учетных записей, что делает возможным цент- 
рализованное управление всей сетью. 


Дерево каталогов 


Графическое представление структуры каталогов на диске. Каталоги отображаются в 
виде ветвей дерева. Самый верхний каталог называется корневым. 


Дескриптор безопасности 


Атрибуты безопасности для обжекта, такие как идентификатор владельца (SID), иден- 
тификатор группы, список контроля доступа (ACL) и системный список контроля до- 
ступа. 


Динамический обмен данными (DDE) 


Форма взаимодействия между процессами в семействе операционных систем 
Microsoft Windows. Две или более программы, поддерживающие динамический обмен 
данными, могут обмениваться между собой информацией и командами. 
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Динамически подключаемая библиотека (DLL) 


Процедура API, доступ к которой из приложений осуществляется вызовом обычных 
процедур. Код этой процедуры не входит в исполняемый образ приложения. Операци- 
онная система автоматически изменяет исполняемый образ в процессе выполнения 
так, чтобы он указывал Ha DLL. 

Диспетчер бюджета безопасности (SAM) 

Защищенная подсистема Windows NT, поддерживающая баз)’ данных SAM и вызываю- 
щая API для доступа к базе данных. 


Доверительные отношения (Trust relationship) 

Разновидность связи между доменами, предусматривающая выполнение а)”пентифи- 
кации, когда пользователь, имея учетную запись только в одном домене, может обра- 
щаться ко всей сети. Доверяющий домен предоставляет право аутентификации доверя- 
емоам)› дамен). 

Доверяемый домен (trusted domain) 

Домен, пользователи которого могут осуществлять доступ к ресурсам других, доверяю- 
щих доменов. 

Доверяющий домен (trusting domain) 

Домен, предоставляющий доступ к своим ресурсам пользователям других, доверяемых 
доменов. 

Документ назначения 

Документ, в который встраивается пакет или с которым связывается OOBEKM. Для встро- 
енных объектов такой документ еще называют контейнерным документом. 


Домашний каталог (Home directory) 


Каталог, доступный для пользователя и содержащий файлы и программы этого 
пользователя. Домашний каталог может быть назначен либо каждому пользователю, 
либо нескольким пользователям сразу. 


Домен 


Для Window's NT Server это объединение нескольких компьютеров, использующих еди- 
ную базу учетных записей и политику безопасности. Каждый домен имеет уникаль- 
ное имя. См. также Рабочая группа. 


Домен учетных записей (account domain) 


В двухзярусной модели построения сети — домен, в котором хранятся учетные записи 
пользователей, но отсутствуют какие-либо ресурсы. Иногда называют Мастер-доменом. 
Противоположен ресурсном)у домену. 
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Драйвер принтера 


Программа, управляющая взаимодействием принтера и компьютера. 


Драйвер сетевого устройства 


Программное обеспечение, координирующее взаимодействие между платой сетевого 
адаптера и оборудованием компьютера и другим программным обеспечением, а также 
управляющее физической работой сетевого адаптера. 


Драйвер устройства 


Программа, позволяющая определенному устройству взаимодействовать с Widows NT. 
Хотя устройство физически может быть установлено в компьютер, Windows МТ не 
распознает его до тех пор, пока не будет установлен необходимый драйвер. 


Дублирование диска 


Установление зеркальной копии диска, подключенного к другому контроллеру. См. 
также Зеркализация диска. 


Журнал 


Файл с информацией о событиях защиты: попытках регистрации, попытках использо- 
вания ресурсов и т.п. Создается функцией ayouma Windows NT. 


Журнал приложений 


Файл, содержащий ошибки, предупреждения и информацию, порожденные приклад- 
ными программами при включенном ау’дите защиты Windows NT. 


Журнал системы 


Файл, содержащий ошибки, предупреждения и информацию, порожденные системой 
при включенном ayoume защиты Windows NT. 


Зависимый сервис 


Сервис, для работы которого требуется другой сервис. Например, сервис Alerter требует 
работы сервиса Messenger. 


Загрузочный раздел 


Раздел диска, отформатированный в NTFS, FAT или HPFS и содержащий файлы опера- 
ционной системы Windows NT и файлы поддержки. Загрузочный раздел может совпа- 
дать с системным разделом. 
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Загрузчик 


Определяет информацию, необходимую для запуска системы, например, о расположе- 
нии файлов операционной системы. Windows NT автоматически исправляет конфигу- 
рацию и проверяет информацию при каждой загрузке системы. 


Зеркализация диска 


Создание идентичной копии раздела диска на другом диске. 


Значимый элемент 


Элемент ключа или подключа в Реестре. 


Идентификатор безопасности (SID) 


Уникальное имя, идентифицирующее зарегистрированного пользователя в \40и$ 
NT. SID может идентифицировать индивидуального пользователя или групп)». 


Именованный канал (named pipe) 


Механизм взаимодействия между процессами, позволяющий одному процессу об- 
щаться с другим локальным или удаленным процессом. 


Имя группы 


Уникальное имя, идентифицирующее локально или глобальную групп)’ в Windows NT. 
Имя группы не может совпадать с именем другой группы или именем пользователя в 
своем домене или рабочей станции. 


Имя домена 


Имя. под которым дамен известен в сети. 


Имя компьютера 


Уникальное имя длиной не более 15 латинских символов верхнего регистра, одно- 
значно идентифицирующее компьютер в сети. Имя не может совпадать с именами 
других компьютеров или именами доменов и не должно содержать пробелов. Если 
применяются протоколы TCP/IP и DNS, в имени вместо знака подчеркивания исполь- 
зуется дефис. 


Имя пользователя 


Уникальное имя, идентифицирующее учетную запись пальзователя в Window's NT. Имя 
пользователя не может совпадать с именами других пользователей или грип в домене 
или на рабочей станции. 
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Интерактивная регистрация 


Пользователь должен ввести информацию с клавиатуры компьютера в диалоговое 
окно, изображенное на экране. Widow's NT предоставит или отвергнет доступ в зави- 
CHMOCTH от информации, введенной пользователем. Противоположна удаленной реги- 
страции. 


Интерактивная регистрация с использованием канала удаленного 
доступа 


В Windows NT 4.0 пользователь может зарегистрироваться в домене, даже когда компь- 
ютер не подключен к локальной сети. При этом можно подключиться к удаленному 
домену в процессе аутентификации средствами удаленного доступа (например, по 
модему). Контроллер удаленного домена Windows МТ предоставит или отвергнет дос- 
туп в зависимости от информации, введенной пользователем. Противоположна )’04- 
ленной регистрации. 


Интерфейс прикладного программирования (API) 


Набор функций, используемых прикладными программами для запросов и исполне- 
ния операционной системой низкоуровневых сервисов. 


Интерфейс NetBIOS 


Интерфейс программирования, позволяющий посылать и принимать запросы ввода/ 
вывода удаленного компьютера. Скрывает техническую часть сети от программ. 


Источник бесперебойного питания (UPS) 


Источник питания со встроенными батареями, подключенный к компьютеру и ис- 
пользуемый при сбоях напряжения питания. 


Исходный документ 


Документ, в котором создан связанный или внедренный оббект. 


Исходный каталог 


Каталог, содержащий файлы, которые надо скопировать или переместить. 


Каталог 


Часть структуры, служащей для организации хранения файлов на диске. В каталоге 
могут храниться файлы и другие каталоги. 


Каталог назначения 


Каталог, в который Вы собираетесь скопировать или перенести файлы. 
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Кластер 


Группа независимых систем, работающих как единое целое. Кластеры используются 
для повышения надежности доступа к хранимой информации и для повышения вы- 
числительной мощности. 


Клиент 


Компьютер, осуществляющий доступ к ресурсам другого компьютера (называемого 
серверам), предоставленным в совместное использование. 


Ключ 


В реестре одно из четырех поддеревьев. Каждый ключ может содержать значимые ве- 
личины и другие подключи. В реестре ключ аналогичен каталог)’, а значимая величи- 
на — файлу. 


Книга обмена 


Место постоянного хранения информации, которую надо сохранить или предоста- 
вить для совместного использования. Отличается OT Буфера Обмена, служащего для 
временного хранения информации. Текущее содержимое Буфера Обмена можно по- 
местить в Книг)’ обмена с помощью ClipBook Viewer. После этого информацию можно 
предоставить в совместное использование. См. Страница Книги обмена. 


Командный файл 


Неформатированный текстовый файл, содержащий одну или несколько команд 
Window's УТ. Командный файл имеет расширения .CMD или .ВАТ. При запуске команды 
в командном файле выполняются последовательно. 


Компьютеры импорта 


При тиражировании каталогов — серверы или рабочие станции, на которые переда- 
ются копии главного набора файлов и каталогов с сервера экспорта. 


Контейнерный объект 


Об5ект, логически содержащий другие объекты. Например, каталог — это контейнер- 
ный объект, содержащий логически другие каталоги и файлы. Файл не является кон- 
тейнерным объектом. 


Контроль 


Любой механизм, ручной или автоматический, обеспечивающий безопасность имуще- 
ства или позволяющий процессу выполняться так, как задумано. 


Контроллер домена 


Сервер, имеющийся в каждом домене Windows NT Server, на котором происходит авто- 
ризация всех регистраций, а также поддерживается политика безопасности. 
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Крайняя привилегия 


Принцип, по которому пользователи должны обладать только минимумом привилегий, 
необходимым для выполнения их работы. 


Кэширование диска 


Метод, используемый для повышения производительности файловой системы. Вместо 
того, чтобы постоянно обращаться к диску для выполнения операций чтения и записи, 
файлы хранятся в кэше в памяти. Все операции чтения/записи выполняются со скоро- 
стью обращения к памяти, что значительно быстрее, чем скорость обращения к диску. 


Логический диск 


Подраздел расширенного раздела жесткого диска. 


Локальная группа 


В Windou's NT Workstation — группа, которой можно предоставлять права и привилегии 
исключительно для рабочей станции. Однако она может включать )четные записи 
пользователей того же компьютера и (если рабочая станция входит в дамен) учетные 
записи пользователей и глобальные группы домашнего и доверяемых доменов. Локаль- 
ные группы предоставляют способ создания объединений пользователей как этой ра- 
бочей станции, так и нет, для применения только на рабочей станции. 


В Windows NT Server — группа, которой можно предоставлять права и привилегии ис- 
ключительно внутри домена. Но в нее могут входить учетные записи пользователей и 
глобальные группы домашнего и доверяемых доменов. Локальные группы предостав- 
ляют способ создания объединений пользователей как этого домена, так и нет, для 
применения только на серверах домена. 


Локальная учетная запись 


Учетная запись такого пользователя в домене, чья глобальная учетная запись находит- 
ся не в доверяемом домене. Если установлены доверительные отношения, применение 
локальных учетных записей не требуется. 


Локальный принтер 


Принтер, подключенный непосредственно к одному из портов компьютера. 


Локальный профиль 


Файл, содержащий информацию о параметрах окружения пользователя, например 
сетевых подключениях, группах программ, положении и размерах окон, сохраняемых 
при выходе пользователя из Widow's NT Workstation. Локальные профили сохраняются 
там же, где и база данных реестра. 
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Максимальный срок жизни пароля 


Период времени, в течение которого можно использовать параль, прежде чем система 
потребует его изменить. См. также Политика ведения учетных записей. 


Маска доступа 


Определяет все возможные действия, применимые к определенному типу оббекта, BO 
входе контроля доступа. Права предоставляются или запрещаются на основе маски. 


Мастер-домен 


Модель организации даменов, в которой все ›метные записи доменов находятся в од- 
ном домене. Позволяет централизованно управлять учетными записями. Иногда назы- 
ается доменом учетных записей. 


Минимальный срок жизни пароля 


Период времени, в течение которого будет использоваться установленный пароль, 
прежде чем его можно будет изменить. См. также Лолитика ведения учетных записей. 


Многопротокольная маршрутизация (MPR) 


МРК содержит функции маршрутизации RIP (Routing Information Protocol) и позволяет 
использовать Window's NT Server в качестве маршрутизатора между двумя или несколь- 
кими сетями с использованием RIP на IP, [PX или на том и другом одновременно. Ком- 
пьютер может выступать также как агент передачи DHCP (DHCP Relay agent), что по- 
зволяет транслировать сообщения DHCP по сети IP. 


Нарушитель 


Неавторизованный пользователь. 


Неактивная учетная запись пользователя 


Учетная запись пользователя, которому запрещено регистрироваться. Эта учетная 
запись появляется в списке учетных записей в User Manager и может быть активизиро- 
вана в любое время. 


Обязательный профиль пользователя 


Профиль пользователя, созданный администратором и назначенный одному или не- 
скольким пользователям. Обязательный профиль пользователя — файл с расширением 
МАМ, в который записываются параметры окружения пользователя. Обязательный 
профиль не может быть изменен пользователем и остается неизменным при каждой 
регистрации. 
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Обратная связь 


Механизм, используемый сервером удаленного доступа. После установления первич- 
ного соединения удаленного пользователя с сервером связь разрывается, и сервер пе- 
резванивает клиенту по предварительно заданному номеру телефона или по номеру, 
сообщенному удаленным клиентом. Используется для повышения защищенности сети, 
а также для сокращения расходов удаленного клиента. 


Объект 


1. Отдельный экземпляр, имеющий объектный тип; управляется только с использова- 
нием сервиса, применимого к объектам данного типа. 2. Любой фрагмент информа- 
ции, созданный \Лтао\5-приложением с помощью связи и внедрения объектов (OLE), 
что позволяет ему быть связанным или внедренным в любой объект. 


Описатель объекта 


Включает информацию управления доступом и непосредственно указатель на оббект. 
Прежде чем процесс сможет управлять объектом Windows NT, он должен получить 
описатель объекта через диспетчер объектов. 


Отказоустойчивость 


Способность компьютера и операционной системы адекватно реагировать на катаст- 
рофические события (например, пропадание напряжения или отказ техники). Обычно 
под отказоустойчивостью понимается способность системы продолжать функциони- 
ровать без потери данных или закрытие системы с перезапуском и последующим вос- 
становлением всех процессов, присутствовавших до момента аварии. 


Пароль 


Уникальная строка символов, вводимая для авторизации доступа при регистрации. 
Важное средство защиты, пароль служит для ограничения входа в систему и доступа к 
компьютерным системам и ресурсам. 


Первичный раздел 


Часть физического диска, которая может быть помечена для использования операци- 
онной системой. На каждом физическом диске может быть до 4 первичных разделов 
(или до трех, если имеется расширенный раздел). Первичный раздел не может быть 
разбит на подразделы. 


Переменная окружения 


Строка, содержащая информацию об окружении системы (например, о диске, пути или 
имени файла), ассоциированном с символьным именем, которое используется систе- 
мой Windou's NT. Для определения переменных окружения применяется опция System 
в Панели управления или команда set. 
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Персональный профиль пользователя 


В Windows NT Server профиль, созданный администратором и назначенный одному 
пользователю. В персональный профиль записываются все изменения, сделанные 
пользователем в течение сеанса работы. Эти изменения сохраняются при выходе 
пользователя из системы. При последующей регистрации на любой рабочей станции 
с Windows NT Workstation загружается персональный профиль (файл с расширением 
.USR) и выставляются те параметры окружения, что были перед окончанием предыду- 
щего сеанса. 


Подключенный пользователь 


Пользователь, осуществляющий доступ к ресурсам компьютера по сети. 


Политика аудита 


Определяет тип регистрируемых событий, происходящих в домене или на отдельном 
компьютере. Также определяет действия, которые должна выполнить система Window's 
NT при переполнении журнала регистрации. 


Политика безопасности 


В Windows NT Workstation политика безопасности состоит из политики ведения учет- 
ных записей, политики привилегий пользователей и политики аудита. Управление 
через User Manager. 


В Windows NT Server политика безопасности состоит из политики ведения учетных 
записей, политики привилегий пользователей, политики аудита и политики довери- 
тельных отношений. Управление через User Manager for Domains. 


Политика ведения учетных записей 


Устанавливает способ применения паролей учетными записями всех пользователей в 
дамене или на отдельном компьютере. 


Полное имя 


Полное имя пользователя, обычно состоящее из имени, фамилии и отчества. Полное 
имя является частью информации, с которой оперирует User Manager при определе- 
нии ’четных записей пользователей. 


Порт 


Разъем или гнездо для подключения к компьютеру таких устройств, как принтеры, 
мониторы или модемы. Информация передается от компьютера к устройству по кабелю. 


Последняя известная работоспособная конфигурация 


Совокупность параметров управления, являющаяся точной копией последних пара- 
метров управления, использовавшихся при успешной загрузке компьютера. 
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Право доступа 

Разрешение процессу определенным образом воздействовать на определенный 065- 
окт. Различные типы объектов поддерживают различные права доступа, хранящиеся в 
списках контроля достута. 

Предоставление файлов в совместное использование 

Способность Windows NT Workstation и Windows NT Server использовать часть (или всю) 
своей локальной файловой системы совместно с другим компьютерами. 


Привилегия 


Позволяет пользователю выполнять определенные действия в системе. Привилегии 
предоставляются системе в целом в отличие от прав доступа, применимых к опреде- 
ленным обБектам. 

Приложения для MS-DOS 

Приложения, разработанные для MS-DOS и поэтому не способные использовать все 
преимущества таои$ NT. 


Приложение не для Windows МТ 


Относится к приложениям, разработанным для Windows 3.x, MS-DOS, OS/2 или POSIX, 
но не специально для Window's NT, что не позволяет им реализовать все преимущества 
Windows МТ. 


Принтер по умолчанию 


Принтер, на который выполняется печать из приложения без предварительного выбо- 
ра принтера. Можно установить только один принтер по умолчанию; это должен быть 
наиболее часто используемый принтер. 


Проверка 


См. Проверка доступа. 


Проверка доступа 


Проверка информации об учетной записи пользователя для определения возможно- 
сти предоставления субъекту права выполнения запрашиваемой операции. 


Программа-мастер 


Специальная программа, предназначенная для облегчения выполнения каких-либо 
рутинных операций. Использует пошаговый подход к выполнению последовательно- 
сти действий, не позволяя пропустить ввод или определение каких-либо важных пара- 
метров. В Windows МТ Server 4.0 несколько программ-мастеров — все они вызываются 
из специальной консоли Administrative Wizards. 
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Протокол 


Набор правил и соглашений, используемых двумя компьютерами для передачи сооб- 
щений по сети. Сетевое программное обеспечение обычно использует несколько 
уровней протоколов, расположенных один над другим. 


Профиль пользователя 


Информация о конфигурации, отсортированная по пользователям и сохраняемая в 
профиле пользователя. Информация включает все параметры окружения для опреде- 
ленного пользователя или группы. К параметрам окружения относятся, например, раз- 
мещение окон и значков на рабочей поверхности, цвета экрана, программа сохране- 
ния экрана, сетевые подключения, подключенные принтеры т.п. При регистрации 
пользователя Windows NT конфигурируется в соответствии с профилем. В Windows NT 
4.0 профили пользователей можно редактировать с помощью редактора системной 
политики — System Policy Editor. 


Профиль умолчания 


См. Профиль молчания пользователя и Системный профиль молчания. 


Профиль умолчания пользователя 


Ha Window's NT Server — профиль, загружаемый сервером, когда: 1. профиль, назначен- 
ный пользователю, не может быть загружен; 2. пользователь, не имеющий персональ- 


ного профиля, регистрируется на компьютере впервые; 3. пользователь регистрируется 
как гость. 


Путь 


Указывает положение файла внутри дерева каталогов. 


Путь импорта 


При тиражировании каталогов — путь приема файлов и каталогов. 


Путь сценария регистрации 


При регистрации пользователя компьютер, выполняющий авторизацию, выполняет 
поиск сценария регистрации (если он был назначен) в пути, заданном на локальном 
компьютере. Обычно это C:\WINNT35\SYSTEM32\REPL\IMPORT\SCRIPTS. 


Путь экспорта 


При тиражировании каталогов — путь на сервере экспорта, каталоги и файлы из 
которого автоматически экспортируются на другие серверы. 
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Р 


Рабочая группа 


Применительно к Windows NT рабсчая гру’ппа представляет собой совокупность ком- 
пьютеров, сгруппированных для удобства просмотра их сетевых ресурсов. 


Рабочая поверхность 


Фоновая поверхность экрана, над которой располагаются окна, значки и диалоговые 
окна. В Windows МТ 4.0 на рабочей поверхности постоянно располагаются такие знач- 
KH, как Му Computer, Network Neighborhood, Recycle bin. 


Рабочая станция 


Компьютеры, на которых исполняется Windows NT Workstation, называются рабочими 
станциями в отличие от серверов, па которых выполняется Windows NT Server. 


Рабочий стол 


См. Рабочая поверхность 


Распорядитель локальной безопасности (LSA) 


Создает маркер безопасного доступа для каждого пользователя, обращающегося к си- 
стеме. 


Расширение 


Точка и до 3 символов в конце имени файла. Расширение обычно указывает на тип 
файла. 


Редактор реестра (Registry Editor) 


Приложение, входящее в систему Window's NT и позволяющее просматривать и редак- 
тировать записи в реестре. 


Редиректор 


Сетевая программа, принимающая запросы ввода/вывода для удаленных файлов, име- 
нованных каналов или почтовых слотов и передающая их сетевым сервисам на другом 
компьютере. В Windows УТ редиректоры выполнены как драйверы файловой системы. 


Реестр 


Архив баз данных Windows NT, хранящий информацию о конфигурации компьютера, 
включая аппаратные средства, установленное программное обеспечение, установки 
окружения и др. 


Ресурс 


Любая часть компьютерной системы или сети (например, диск, принтер, память), ко- 
торая может быть предоставлена программе или процессу во время работы. 
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Ресурсный домен 


В двухзяру’сной модели построения сети — домен, не содержащий ни одной четной 
записи пользователей сети (кроме администратора) и располагающий ресурсами, 
предоставленными в совместное использование. Противоположен по функциям доме- 
ну’ ’четных записей. 


Свободное пространство 


Неиспользуемая и неотформатированная часть жесткого диска, которая может быть 
разбита на разделы или подразделы. Свободное пространство внутри расширенного 
раздела доступно для создания логических дисков. Свободное пространство, не исполь- 
зуемое расширенным разделом, доступно для создания раздела. Максимальное число 
разделов — четыре. 


Связанный объект 


Представление позиции оббекта, вставленного в документ. Объект при этом существует 
в отдельном файле, и при его изменении связанный объект отображает эти изменения. 


Связь и внедрение объектов (OLE) 


Способ передачи и обмена информацией между приложениями. 


Сервер 


В Windows NT Workstation компьютер, предоставляющий свои ресурсы для совместного 
использования в сети. См. также Клиент. 


В Windows NT Server компьютер, содержащий копию базы данных защиты дамена и 
идентифицирующий регистрацию по сети. См. также Контроллер домена. 


Сервер экспорта 


При тиражировании каталогов — сервер, с которого тиражируется основной набор 
каталогов на указанные серверы или рабочие станции в этом или других даменах. 


Серверный профиль 


Файл, содержащий параметры окружения пользователя и расположенный на локаль- 
ном диске или в совместно используемом каталоге. Обязательный, персональный и 
профиль умолчания являются серверными профилями. 


Сервис 


Процесс, выполняющий определенные функции системы и часто предоставляющий 
API для вызова других процессов. Сервисы Windows NT поддерживают КРС, что подра- 
зумевает возможность вызова процедур API с удаленных компьютеров. 
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Сервис планирования 


Поддерживает и требуется для использования команды at, которая позволяет назна- 
чать исполнение программ и команд на указанное время и дату. | 


Сервис Event Log 


Записывает указанные события в журналы системы, защиты или приложений. 


Сервис File Replication 


Сервис, выполняющий тиражирование данных. 


Сервис Messenger 


Посылает и принимает сообщения, рассылаемые администраторами или сервисом Alerter. 


Сервис NetDDE 


Обеспечивает транспорт и защиту для динамического обмена данными между компь- 
ютерами 


Сервис Netlogon 


В Window's NT Server определяет правильность регистрации в дамене, а также синхро- 
низирует базу данных домена между контроллером домена и другими серверами 
Window's УТ в домене. 


Сервис RPC 


Сервис вызова удаленных процедур, используемый подсистемой КРС. 


Сервис $егуег 


Поддерживает вызов удаленных процедур, а также предоставление в совместное ис- 
пользование файлов, принтеров и именованных каналов. 


Сервис Workstation 


Сервис Window's NT, предоставляющий функции API, управляющие Pedupexmopam Win- 
dows NT. Обеспечивает сетевые подключения. 


Сетевой каталог 


См. Совместно используемый ресурс. 


Системный профиль умолчания 


В Имаои$ NT Server профиль, используемый при работе системы, когда в ней He заре- 
гистрировался ни один пользователь. Диалоговое окно Welcome означает, что исполь- 
зуется системный профиль умолчания. 


Системный раздел 


Том, содержащий необходимые для загрузки Windows NT файлы, зависящие от типа 
техники. 
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Событие 


Любое значительное происшествие в системе или в приложении, о котором необходи- 
мо оповестить пользователя или занести запись в журнал. 


Совместно используемый ресурс 


Ресурс (каталог, принтер, страница Книги обмена и т.п.), доступный пользователям 
сети. 


Специальные группы 


Группы, члены которых не назначаются администратором. Пользователь становится 
членом такой группы при выполнении определенных действий в сети. Например, 
пользователь, выполнивший интерактивную регистрацию, принадлежит к специаль- 
ной группе Interactive. 


Список контроля доступа (ACL) 


Часть дескриптора защиты, перечисляющая защитные функции, примененные к 
объекту. Владелец объекта, обладающий контролем над объектом, может изменять 
список контроля доступа к объекту для предоставления или запрещения доступа к 
объекту другим. Список контроля доступа состоит из входов контроля доступа. 


Страница Книги обмена 


Единица информации, размещенная в локальной Книге обмена. Страница постоянно 
сохраняется. Информация со страницы может быть скопирована в Буфер Обмена и 
затем в документы, а также может быть предоставлена для совместного использования 
в сети. 


Субъект 


Комбинация маркера контраля доступа пользователя и программы, действующей от 
имени этого пользователя. В Windows NT субъекты применяются для отслеживания и 
управления правами программ, выполняемых различными пользователями. 


Сценарий регистрации 


Обычно командный файл. Сценарий регистрации автоматически выполняется при 
каждой регистрации пользователя в системе. Может применяться для настройки окру- 
жения пользователя или рабочей среды. Сценарий регистрации назначается одному 
или нескольким пользователям сразу. 


Тиражирование каталогов 


Автоматическое копирование главного набора каталогов с сервера (называемого сер- 
вером экспорта) на выбранные серверы или рабочие станции (называемые компьюте- 
рами импорта) в том же или другом дамене. Тиражирование упрощает поддержание 
идентичности наборов каталогов на нескольких компьютерах, так как следить надо 
только за главным набором. Файлы тиражируются всякий раз при добавлении в ката- 
лог экспорта или при сохранении в них изменений. См. также Directory Replicator 
service. 
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Том 

Раздел диска или несколько разделов, отформатированных для использования файло- 
вой системой. 

Транспорт Ме! ВЕЦ! 

См. NetBEUI. 


Транспорт ТСРЛР 
См. ТСРЛР. 


Удаленная регистрация 


Когда пользователь устанавливает связь с удаленного компьютера, проверка доступа 
осуществляется на компьютере, не имеющем маркера доступа для данного пользовате- 
ля. (Маркеры доступа создаются при интерактивной регистрации.) 


Удаленное администрирование 


Администрирование компьютера с другого компьютера, связанного с первым по сети. 
Удаленно можно администрировать компьютер, работающий в Windows NT с клиентов, 
на которых исполняется Windows for Workgroups, Windows 95 или Windows МТ. 


Удаленный доступ 


Доступ к компьютеру или сети с использованием каналов связи. В качестве каналов 
могут выступать обычные телефонные линии, выделенные линии, сети Х.25 или ISDN. 
Используется для подключения мобильных пользователей или связи двух локальных 
сетей между собой. В Windows МТ 4.0 поддерживается связь по линии RS232 (нуль- 
модем) или с использованием протокола РРТР. 


Улей 


Дискретный набор ключей, подключей и значений, находящийся вверху иерархии 
реестра. Улей поддерживается одиночным файлом и файлом ТОС, находящимися в 
каталоге %systemroot™%\system32\config 


Уникальность пароля 


Число паролей, которые необходимо сменить, прежде чем сможет быть использован 
первоначальный пароль. См. также Лолитика ведения у’четных записей. 
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Управляющий набор 


Полный набор параметров устройств и сервисов, записанный в реестре в ключе 
HKEY LOCAL MACHINE\SYSTEM. 


Учетная запись пользователя 


Содержит всю информацию о пользователе Windows NT. Включает в себя имя пальзова- 
теля и пароль, необходимые для регистрации, гру’ппы, в которые входит данная учет- 
ная запись, права и привилегии пользователя при работе в системе и доступе к ресур- 
сам. В Windows NT Workstation учетные записи пользователей редактируются с помо- 
щью User Manager, в Windows NT Server — User Manager for Domains. В Windows МТ 4.0 
для создания новых учетных записей можно использовать программ)’-мастер Add User 
Account Wizard. 


Файловая система 


Общая структура именования, хранения и организации файлов в операционной сис- 
теме. 


Файловая система FAT 


Базируется на таблице размещения файлов, обслуживаемой операционной системой и 
отслеживающей состояние различных сегментов диска, используемых для хранения 
файлов. 


Файловая система HPFS 


Высокопроизводительная файловая система, изначально использовавшаяся в OS/2 
версии 1.2 и позже. Поддерживает длинные имена файлов, но не поддерживает функ- 
ций защиты. В Window's NT 4.0 не поддерживается. 


Файловая система NTFS 


Улучшенная файловая система, разработанная специально для Windows NT. Поддержи- 
вает средства восстановления файловой системы, допускает использование чрезвы- 
чайно больших носителей данных, а также различных функций подсистемы POSIX. 
Поддерживает объектно-ориентированные приложения, обрабатывая все файлы как 
объекты с определяемыми пользователем и системой атрибутами. 


Физическая защита 


Осуществляет контроль за физическим доступом к носителям информации, прерыва- 
ниям сервисов, повреждением программ или данных и нелегальным разглашением ин- 
формации. 
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Ч 


Чередование дисков 


Запись данных полосками по всему тому, созданному из участков свободного про- 
странства от 2 до 32 дисков. 


Членство в группе 


Принадлежность к группе. Права и привилегии, предоставленные группе, распростряа- 
няются на ее членов. В большинстве случаев действия, которые может совершить 
пользователь Windows NT, определяются принадлежностью к той или иной группе. 


Шифрование данных 


Изменение формата данных, так чтобы их нельзя было прочитать. 


АСЕ 


См. Вход контроля доступа. 


ACL 


См. Список контроля доступа. 


Administrative Wizards 


Единая консоль управления административными программами-мастерами в Windows 
NT Server 4.0. Объединяет такие программы, как Add User Account (Добавление новой 
учетной записи пользователя), Group Management (Управление группами), Managing 
File and Folder Access (Управление доступом к файлам и папкам), Add printer (Добавле- 
ние принтера), Add/Remove Programs (Добавление/удаление программ), Install New 
Modem (Установка нового модема), Network Client Administrator (Администратор сете- 
вых клиентов), License Compliance (Соответствие лицензий). 


Alerter 


Сервис, предупреждающий пользователей и компьютеры об административных сиг- 
налах тревоги в компьютере. Используется сервисом Server и другими. Требует функ- 
ционирования сервиса Messanger. 


АР! 


См. Интерфейс прикладного программирования. 
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Call-back 


См. Обратная связь 


ClipBook service 


Поддерживает работу Книги обмена. Позволяет предоставлять информацию в совмес- 
тное использование. 


DDE 


См. Динамический обмен данными. 


Directory Replicator service 


Тиражирует каталоги и файлы в них Ha другие компьютеры. 


Directory Service Manager for Netware (DSMN) 


Дополнительный сетевой сервис, позволяющий синхронизировать между собой )’чет- 
ные записи домена NT Server и учетные записи одного или нескольких серверов Net- 
ware версий 2.х и 3.X. как бы включив их в один домен. После такой синхронизации 
пользователи домена Windows NT получают прозрачный доступ к ресурсам серверов 
Netware и имеют одинаковые права и привилегии, имена, учетные записи и пароли. 


РАТ 


См. Файловая система ЕАТ. 


File and Print Services for Netware (FPNW) 


Сервис Windows NT Server, позволяющий эмулировать работу сервера Netware 3.x. В 
резульгате клиенты Netware могут без каких-либо изменений осуществлять доступ к 
ресурсам NT Server и управлять им. 


FTP 


Протокол передачи данных File Transfer Protocol (FTP) позволяет перемещать файлы с 
одного компьютера в Internet на другой. Серверы, предназначенные для предоставле- 
ния файлов для загрузки на другие компьютеры, называются серверами FTP. 
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Gateway Service for Netware 


Сервис Windows NT Server, позволяющий предоставлять прозрачный доступ клиентам 
сети Microsoft к ресурсам сервера Netware через шлюз. Шлюзование позволяет не ис- 
пользовать на клиентах протокол [PX. 


Gopher 


По сути, это меню ресурсов Internet. Для управления ими используются серверы Gopher. 


HCL 


Список совместимого оборудования. В нем перечислены как конечные системы, так и 
отдельные компоненты, с которыми была проверена работа в Window's NT. 


HPFS 


См. Файловая система НРЕ$. 


Internet Information Server (IIS) 


Информационный сервер Microsoft, работающий под управлением Windows NT Server. 
Начиная с МТ Server версии 4.0, является составной частью системы. Включает в себя 
серверы Web, Gopher и FTP. 


LSA 


См. Распорядитель локальной безопасности. 


MPR 


Cm. Многопротокольная маршрутизация. 


Ме!вВЕЦ! 


Первичный протокол локальной сети NetBIOS Extended User Interface используется в 
Window's NT. 
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NetBIOS 
См. Интерфейс NetBIOS. 


NTFS 


См. Файловая система NTFS. 


РРТР 


Point-to-Point-Tunneling Protocol — механизм защищенной передачи данных через 
Internet между двумя локальными сетями. Организуется “тоннель” через который на- 
правляются пакеты IP, IPX или NetBEUT. Этот механизм реализован в Windows NT, начи- 
ная с версии 4.0. 


RAS 


См. Удаленный Oocmyn. 


“ 


RPC 
Cm. Cepeuc RPC. 


SAM 


См. Диспетчер бюджетов безопасности. 


SID 


См. Идентификатор безопасности. 


System Policy Editor 


Редактор системной политики в Windows NT Server 4.0. Позволяет вносить изменения в 
реестр как непосредственно, так и через файлы политики. Управляет практически 
всеми настройками серверов и клиентов, входящих в домен, а также профилями отдель- 
ных пользователей. В качестве клиентов поддерживаются используемые Windows NT 
или Windows 95. 


ТСРЛР 


Transmission Control Protocol/Internet Protocol. Первичный протокол глобальных се- 
тей, используемый в Windows NT для взаимодействия с системами в сетях TCP/IP и для 
доступа к электронным доскам объявлений и почтовым службам, работающим под 
UNIX. 
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UPS 


См. Источник бесперебойного питания. 


User Manager 


Инструмент обеспечения защиты Windows NT Workstation. Позволяет администриро- 
вать учетные записи пользователей, групп и политику защиты. 


User Manager for Domains 


Инструмент Windows NT Server, обеспечивающий защиту как отдельного компьютера, 
так и домена. Позволяет администрировать учетные записи пользовсипелей, групп и 
политику защиты. 


Web-cepsep 
См. World Wide Web. 


Windows NT 


Переносимая, защищенная 352-разрядная операционная система, обладающая приори- 
тетной (вытесняющей) многозадачностью, из семейства Microsoft Windows. Выпуска- 
ется в двух версиях: Windows NT Workstation и Windows NT Server. 


Windows NT Server 


Версия Windows NT, предназначенная для использования в качестве сервера. Может 
выполнять роль контроллера домена или просто сервера. 


Windows МТ Workstation 


Версия Windows NT, предназначенная для использования в качестве рабочей станции. 
У Windows NT Workstation отсутствуют средства администрирования доменов и нет 
возможности а’тентификации пользователей доменов. 


World Wide Web (WWW) 


Сервер, на котором хранятся мультгимедиа-документы, связанные между собой гипер- 
текстовыми ссылками. Просмотр документов осуществляется с помощью специальных 
программ. Переход от одного документа к другому выполняется щелчком ссылки. 


WWW 
Cm. World Wide Web. 
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_ Уважаемые читатели! 


Издательство “Русская Редакция” выпускает книги компьютер- 
ной тематики по актуальным версиям популярных программных 
продуктов. Мы переводим на русский язык бестселлеры ведущих 
издательств мира, a также сотрудничаем с авторитетными рос- 
сийскими авторами. Книги “Русской Редакиии” рассчитаны на са- 
мый широкий круг читателей: от начинающих работать на ком- 
пьютере до профессионалов. 


Книги “Русской Редакции” Вы можете приобрести: 


в Москве: | в других городах: 
«Московский Дом Книги» . Санкт-Петербург. 
ул. Новый Арбат, 6 | ЗАО «Диалект» 
«Библио-Глобус» | (812) 534-4578 _ 
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Ленинский пр., 40 : 
г Тольятти 
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yA. Автозаводская, 5 | о С. (3212) 58-0922 — 
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Описания популярных программных продуктов 
Брюс МакКинней Крепкий орешек Microsoft® Visual Basic® 4 
Дэвид Дж. Круглински Основы Microsoft® Visual С ++™ 4 
Хелен Кастер Основы Microsoft® Windows NT™ и Файловая система NTFS 
Microsoft Press Компьютерные сети (рабочее название) | 
Рони Шушан, Дон Райт и Лора Льюис Дизайн и компьютер (рабочее название) 


Подарочная серия «Путеводители» 
Стефен Л. Нелсон Путеводитель no Microsoft® Windows® 95 
Стефен Л. Нелсон Путеводитель по Internet 


Авторские издания 
Д. Хавжу и др. Макинтош для пользователя 
Ф. Зубанов Windows NT™ — выбор «профи» (второе издание с учетом версии 4) 
Г. Бугрименко, Е. Рыбкин Азбука 3D Studio 
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Негатив фиксирует 
реальность, 

HO не отражает еб. 

Только 

легальные версии 

Windows 95 и Office 95 
позволят Вам проявить себя 
и гарантируют 

позитивный результат. 


ВИ] Ь себя так, 
чтобы проявить себя : 


Вы думаете об экономии, a, по сути, экономите на себе — 
на собственных возможностях и преимуществах 
` Пользуясь легальной версией Windows” 95 и Office 95, 
Вы можете в любой момент обратиться за помощью 
В Службу технической поддержки Microsoft, 
Вы можете использовать мощный интеллектуальный 
потенциал специалистов фирмы. 
Вам гарантированы скидки при покупке новых 
программных продуктов Microsoft. 
ль о Принимая решение, помните: 
украсть программный продукт легко, 
службу технической поддержки украсть невозможно. 
Примите правильное решение - проявите себя! 


ВЕСТЬ АО — системный интегратор прикладных информационных систем в архитектуре 


“клиент-сервер” предлагает прикладные решения для различных областей деятельности на 
базе Microsoft Windows МТ: 


Microsoft e корпоративная система управления документами и заданиями. 
Включает модули маршрутизации и контроля исполнения заданий — 


WorkRoute и модуль для работы с изображениями бумажных 
документов Deltalmage; 
° система автоматизации торговой деятельности “Экипаж”; 
° система электронной разработки и хранения чертежно- 


конструкторской документации TechnoDOCs. 


Техническая поддержка 


ВЕСТЬ АО обеспечивает техническую поддержку по всем проду семейства BackOffice. 


Тел. (095) 115-6001 р ATA 
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eHTp B ЕСТЬ AO (имёе статус Microsoft Authorized Training Center) 
п оводит  обуче ние для администраторов! фетей и пользователей по 
родуктам м rr B TOM чи ле по Windows МТ 
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